cPanel 的黑色週：分析勒索軟體攻擊與隨後的漏洞

如果您正在運行 cPanel 或 WHM 伺服器，過去幾週將是一場安全噩夢。在短短十天內，cPanel 發布了兩次緊急安全補丁——第一次是為了處理關鍵的身份驗證繞過問題，第二次是為了修復三個新的漏洞。這場被稱為「黑色週」的事件，已經導致 44,000 台伺服器遭到勒索軟體入侵。

催化劑：CVE-2026-41940 與 "Sorry" 勒索軟體

要理解目前的緊迫性，我們必須回顧最初的入侵。在 2026 年 4 月 28 日，cPanel 修復了 CVE-2026-41940，這是一個關鍵的身份驗證繞過漏洞（CVSS 9.8），允許未經身份驗證的遠端攻擊者獲得管理員權限。

這點特別令人擔憂的是時間線：漏洞利用嘗試早在 2026 年 2 月就已開始，這意味著在修復程序發布之前，攻擊者擁有兩個月的機會窗口。

此漏洞被用來部署一個基於 Go 的 Linux 加密器，用於一種名為 "Sorry" 的勒索軟體變種，影響了至少 44,000 個 IP 地址。

第二波：三個新漏洞

在 2026 年 5 月 8 日，cPanel 發布了第二次技術安全發布 (TSR)，涵蓋了三個新的缺陷。

這時機表明，最初的勒索軟體攻擊觸發了更深層次的代碼審計，進而發現了這些額外的問題。

CVE-2026-29201 — 任意文件讀取 (CVSS 4.3)

此漏洞源於 feature::LOADFEATUREFILE adminbin 調用中的輸入驗證不足。

已驗證的攻擊者可以操縱功能文件名稱參數，以讀取託管伺服器上的敏感文件，例如配置文件和憑證，隨後可用於策劃進一步的攻擊。

CVE-2026-29202 — 任意 Perl 代碼執行 (CVSS 8.8)

這是新系列中最嚴重的漏洞。

create_user API 調用中 plugin 參數的輸入驗證不足，允許已驗證用戶——包括共享伺服器上的任何帳戶持有者——執行任意 Perl 代碼。

鑑於 cPanel 的系統級訪問權限，這可能允許一名租戶入侵整個機器。

CVE-2026-29203 — 透過不安全 Symlink 進行權限提升 (CVSS 8.8)

此缺陷涉及不安全的 symlink 處理，允許用戶使用 chmod 修改任意文件的訪問權限。

如果關鍵系統文件變得無法訪問，這可能導致權限提升或完全的拒絕服務。

安全提示： 這些缺陷可以被鏈接使用。攻擊者可以使用 CVE-2026-29202 來執行代碼並創建一個 symlink，然後使用 CVE-2026-29203 來提升權限。

修復與鑑識步驟

如何修補

對於大多數用戶，標準更新命令就足夠了： /scripts/upcp

如果您禁用了自動更新或您使用的是固定層級，請使用： /scripts/upcp --force

修補後，重新啟動 cPanel 服務至關重要： /scripts/restartsrv_cpsrvd

最後，使用 /usr/local/cpanel/cpanel -V 驗證版本，以確保補丁已應用。

修補後的鑑識

如果您已經被入侵，僅僅修補是不夠的。

如果您伺服器的補丁狀態在 2 月至 4 月 28 日之間未進行更新，您應該將其視為已被入侵。

1. 審計日誌： 檢查 /usr/local/cpanel/logs/access_log 和 /usr/local/cpanel/logs/login_log，查看從 2026 年 2 月 23 日開始是否存在來自非預期 IP 的異常身份驗證模式。
2. 掃描勒索軟體： 對用戶主目錄進行遞歸掃描，尋找具有 .sorry 擴展名的文件。

更廣泛的安全格局

此事件突顯了 Web 託管行業中一個令人擔憂的趨勢。Linux 內核關鍵漏洞（如 Copy Fail 和 Dirty Frag）的集中出現以及 cPanel 攻擊，表明 AI 輔助的安全研究正在加速漏洞的發現。

社區討論反映了對這些系統的年齡和架構的深層懷疑。

正如一位用戶在 Hacker News 上所說：

"Seeing these CPanel hacks remind me how old these codebases are and how much more vulnerability remain"

其他用戶指出共享託管環境中固有的風險，其中沙箱機制通常非常有限：

"Their clients can run code as an user without much sandboxing/guardrails at all."

對於運營商而言，其運營意義非常明確：自動更新不再是可選項，而是強制性的，且在重大事件發生後進行追溯性日誌審查是必須的，以確保伺服器尚未被入侵。