Cybercriminelen maken op grote schaal gebruik van een recent ontdekte kwetsbaarheid in cPanel en WebHost Manager. Deze veelgebruikte beheertools voor webservers blijken een ernstig beveiligingslek te bevatten, waardoor aanvallers volledige controle kunnen verkrijgen over systemen die nog niet zijn bijgewerkt.
Hoewel de ontwikkelaars van de software gebruikers al eerder waarschuwden en een oplossing beschikbaar stelden, blijkt dat een groot aantal servers nog altijd kwetsbaar is. Dat meldt TechCrunch. Sinds begin vorige week zijn er wereldwijd meer dan 550.000 servers met cPanel die mogelijk kwetsbaar zijn. Dat aantal blijft al enkele dagen vrijwel onveranderd. Tegelijkertijd is het aantal vermoedelijk gecompromitteerde installaties gedaald naar ongeveer 2.000, terwijl dat er donderdag nog circa 44.000 waren. Deze cijfers zijn afkomstig van Shadowserver Foundation, een organisatie die het internet actief monitort op dreigingen en aanvallen.
Ransomware-achtige praktijken
Beveiligingsonderzoekers zagen dat aanvallers het lek actief inzetten om toegang te krijgen tot beheerpanelen van servers. Daarmee konden zij websites overnemen en aanpassen. In sommige gevallen verschenen berichten op getroffen sites waarin werd gesteld dat bestanden waren versleuteld, wat wijst op ransomware-achtige praktijken. Een deel van deze websites functioneert inmiddels weer normaal, wat erop duidt dat beheerders hebben ingegrepen.
De kwetsbaarheid, geregistreerd als CVE-2026-41940, staat inmiddels op de lijst van actief misbruikte beveiligingsproblemen van de Amerikaanse cyberwaakhond Cybersecurity and Infrastructure Security Agency. Overheidsinstanties kregen het dringende advies om hun systemen snel te patchen, al is niet duidelijk in hoeverre dat overal is gebeurd.
Volgens hostingbedrijf KnownHost waren er al eerder signalen van aanvallen die mogelijk verband houden met deze kwetsbaarheid. Dat suggereert dat het lek al werd misbruikt voordat het publiekelijk bekend werd gemaakt.