🌐 This article hasn't been translated yet — showing the Japanese version.
cPanel/WHM 認証回避ゼロデイ CVE-2026-41940——150万台を直撃した CRLF 攻撃と国内最終報告 thumbnail

cPanel/WHM 認証回避ゼロデイ CVE-2026-41940——150万台を直撃した CRLF 攻撃と国内最終報告

Importance: High
⏱ approx. 2 min views 1 likes 0 LOG_DATE:2026-07-10
TOC

ウェブホスティング管理ソフト cPanel & WHM の認証回避脆弱性 CVE-2026-41940(CVSS 9.8)を悪用した攻撃について、国内企業アイコムソフトが7月9日に最終インシデント報告を公開した。この脆弱性は今年2月からゼロデイとして悪用されており、推定 150万台のインターネット公開サーバーが影響を受けた。

CRLF インジェクションで認証をゼロに #

脆弱性の核心は、cPanel ログイン処理における CRLF インジェクション だ。攻撃者は Basic 認証ヘッダー内に \r\n 文字を埋め込み、サーバー側のセッションファイルに user=root などの任意プロパティを書き込める。これにより、パスワードなしで管理者権限を取得できる。

攻撃ステップ

悪意ある Authorization ヘッダーで \r\n を送信 → セッションファイルへ user=root を書き込み → 認証バイパスで管理者権限を取得

Mirai とランサムウェアが同時展開 #

Rapid7 の分析では、4月28日の公式公開後 24 時間以内に少なくとも 2 系統のキャンペーンが確認された。一つは Mirai ボットネット亜種の展開でサーバーをゾンビ化させ、もう一つはランサムウェアを投下するグループだ。Cloudflare は当日に緊急 WAF ルールを展開し、大手ホスティング各社も WHM ポートをネットワーク層で遮断した。

今回のアイコムソフトの最終報告は、2月〜4月のゼロデイ悪用フェーズに国内企業が何を経験したかを記録する資料として価値がある。パッチが間に合わなかった期間の侵害シナリオを把握し、同様の構成を持つ組織の事後確認に活用できる。

対処は「即時更新+侵害痕跡の確認」 #

cPanel 社は 4月28日にパッチ提供済み。管理者は WHM の「Update cPanel & WHM」から即時適用可能だ。ただしパッチ適用だけでは不十分な場合がある。ゼロデイ期間(2月〜4月)に不審なセッション操作が発生していたなら、すでに侵害済みの可能性がある。不審な cronジョブ・バックドア・ファイル改ざんの有無まで確認すること。

𝕏 Post B! Hatena

COMMENTS 0

No comments yet — be the first to leave one.

Post a comment