Hakerzy atakują narzędzie używane przez miliony stron. Wystarczyła luka w panelu hostingu
W narzędziu cPanel/WHM wykryto krytyczną lukę pozwalającą ominąć logowanie i dostać się do panelu administracyjnego. To nie jest problem jednej firmy hostingowej, lecz całego zaplecza, na którym stoi ogromna część internetu.
W cPanelu i WHM, czyli narzędziach używanych przez firmy hostingowe oraz właścicieli stron internetowych do zarządzania serwerami, odkryto poważną lukę bezpieczeństwa. Błąd oznaczony jako CVE-2026-41940 pozwalał zdalnie ominąć ekran logowania i uzyskać dostęp do panelu administracyjnego. W praktyce oznacza to wejście do miejsca, z którego można zarządzać plikami, pocztą, bazami danych, konfiguracją domen i ustawieniami serwera.
To nie jest kolejna drobna podatność w mało znanym dodatku.
cPanel i WHM należą do najczęściej spotykanych narzędzi w branży hostingu. TechCrunch podaje, że oprogramowanie jest używane przez dziesiątki milionów właścicieli stron na całym świecie. Dlatego skala problemu jest większa niż w typowym przypadku: luka w takim narzędziu może uderzyć nie w jedną witrynę, lecz w całe zaplecze, na którym stoją sklepy, blogi, serwisy firmowe i skrzynki e-mail.
Co dokładnie było zagrożone
cPanel i WHM służą do zarządzania serwerami. To tam administrator może tworzyć konta pocztowe, ustawiać domeny, zmieniać konfiguracje, edytować pliki i zarządzać bazami danych. Jeśli atakujący przejmie taki panel, nie musi już szukać hasła do konkretnej strony. Może wejść wyżej, do warstwy infrastruktury.
Dlatego ryzyko nie kończy się na podmianie strony głównej. Potencjalny dostęp do panelu może oznaczać kradzież danych klientów, przechwycenie poczty, instalację złośliwego oprogramowania, tworzenie ukrytych kont, przekierowywanie ruchu albo wykorzystanie serwera jako trampoliny do kolejnych ataków.
Najbardziej niebezpieczne jest to, że przeciętny właściciel strony często nie ma pełnej kontroli nad tym, co dzieje się na poziomie hostingu. Widzi WordPressa, sklep, skrzynkę e-mail i panel klienta. Nie zawsze wie, jaka wersja cPanelu działa na serwerze ani czy dostawca hostingu zainstalował poprawkę.
„Wykorzystanie jest wysoce prawdopodobne”
Kanadyjska agencja cyberbezpieczeństwa ostrzegła, że wykorzystanie podatności jest „wysoce prawdopodobne” i że potrzebne są natychmiastowe działania ze strony klientów cPanelu albo ich dostawców hostingu. To mocne sformułowanie, bo instytucje publiczne rzadko używają takiego języka bez powodu.
Znane firmy hostingowe już reagowały. Namecheap tymczasowo blokował dostęp do paneli klientów, żeby ograniczyć ryzyko wykorzystania luki do czasu aktualizacji. HostGator poinformował o łataniu systemów i określił problem jako krytyczne obejście uwierzytelniania.
Najbardziej niepokojący jest jednak trop czasowy. KnownHost twierdzi, że widział próby wykorzystania podatności już 23 lutego. Jeżeli to się potwierdzi, oznaczałoby to, że przestępcy mogli testować lukę przez wiele tygodni, zanim sprawa stała się szerzej znana.
Co powinien zrobić właściciel strony
Jeżeli strona działa na hostingu z cPanelem, pierwsze pytanie do dostawcy powinno brzmieć: czy serwer został zaktualizowany po luce CVE-2026-41940. Nie wystarczy ogólna odpowiedź, że „dbamy o bezpieczeństwo”. Warto poprosić o konkretną informację: czy wszystkie obsługiwane wersje cPanelu i WHM zostały załatane.
Druga sprawa to logi i konta. Właściciel strony powinien sprawdzić, czy w panelu nie pojawiły się nowe konta e-mail, nowe wpisy DNS, nieznane przekierowania, podejrzane pliki albo zmiany w bazach danych. W przypadku sklepów internetowych i serwisów przetwarzających dane klientów warto potraktować sprawę poważniej niż zwykłą aktualizację.
Trzecia rzecz: hasła. Jeśli dostawca hostingu potwierdził narażenie systemu albo jeśli panel był dostępny publicznie, warto zmienić hasła do panelu hostingu, baz danych, poczty i administracji strony. Najlepiej przy okazji włączyć dodatkowe zabezpieczenie logowania tam, gdzie jest dostępne.
Komentarz: atak na niewidzialną warstwę internetu
Ten przypadek jest dobrym przypomnieniem, że cyberbezpieczeństwo strony nie kończy się na aktualnym WordPressie i mocnym haśle administratora. Strona internetowa stoi na wielu warstwach: domenie, DNS, poczcie, panelu hostingu, bazie danych, serwerze i aplikacji. Atakujący wybiera tę warstwę, która daje największy efekt przy najmniejszym wysiłku.
Czasem nie musi nawet dotykać samej strony.
Wystarczy, że przejmie panel, który tę stronę utrzymuje przy życiu.
Dlaczego to także problem zwykłego użytkownika
Na pierwszy rzut oka podatność w panelu hostingu brzmi jak temat dla administratorów. W praktyce może dotknąć także osoby, które tylko korzystają ze strony. Jeśli serwer sklepu internetowego zostanie przejęty, zagrożone mogą być dane klientów, historia zamówień, adresy dostaw, formularze kontaktowe i wiadomości e-mail. Jeśli atakujący podmieni konfigurację domeny, użytkownik może trafić na fałszywą stronę, choć wpisze poprawny adres.
Właśnie dlatego luka w zapleczu bywa trudniejsza do zauważenia niż klasyczny phishing. Użytkownik nie dostaje podejrzanego SMS-a. Nie klika linku z dziwną literówką. Wchodzi na znaną stronę, która mogła zostać przejęta po cichu. Dla przestępców to bardzo wygodne, bo zaufanie do marki działa wtedy przeciwko ofierze.
