ウェブホスティング管理ソフト cPanel & WHM の認証回避脆弱性 CVE-2026-41940(CVSS 9.8)を悪用した攻撃について、国内企業アイコムソフトが7月9日に最終インシデント報告を公開した。この脆弱性は今年2月からゼロデイとして悪用されており、推定 150万台のインターネット公開サーバーが影響を受けた。
CRLF インジェクションで認証をゼロに #
脆弱性の核心は、cPanel ログイン処理における CRLF インジェクション だ。攻撃者は Basic 認証ヘッダー内に \r\n 文字を埋め込み、サーバー側のセッションファイルに user=root などの任意プロパティを書き込める。これにより、パスワードなしで管理者権限を取得できる。
悪意ある Authorization ヘッダーで \r\n を送信 → セッションファイルへ user=root を書き込み → 認証バイパスで管理者権限を取得
Mirai とランサムウェアが同時展開 #
Rapid7 の分析では、4月28日の公式公開後 24 時間以内に少なくとも 2 系統のキャンペーンが確認された。一つは Mirai ボットネット亜種の展開でサーバーをゾンビ化させ、もう一つはランサムウェアを投下するグループだ。Cloudflare は当日に緊急 WAF ルールを展開し、大手ホスティング各社も WHM ポートをネットワーク層で遮断した。
今回のアイコムソフトの最終報告は、2月〜4月のゼロデイ悪用フェーズに国内企業が何を経験したかを記録する資料として価値がある。パッチが間に合わなかった期間の侵害シナリオを把握し、同様の構成を持つ組織の事後確認に活用できる。
対処は「即時更新+侵害痕跡の確認」 #
cPanel 社は 4月28日にパッチ提供済み。管理者は WHM の「Update cPanel & WHM」から即時適用可能だ。ただしパッチ適用だけでは不十分な場合がある。ゼロデイ期間(2月〜4月)に不審なセッション操作が発生していたなら、すでに侵害済みの可能性がある。不審な cronジョブ・バックドア・ファイル改ざんの有無まで確認すること。
COMMENTS 0
No comments yet — be the first to leave one.