'44.000 cPanel-installaties vermoedelijk gehackt via nieuwe kwetsbaarheid'

In dit artikel:

Meer dan 44.000 cPanel/WHM-installaties zijn waarschijnlijk misbruikt via een nieuwe kritieke kwetsbaarheid (CVE-2026-41940), meldt The Shadowserver Foundation. Amerikaanse (CISA) en Australische (ACSC) autoriteiten bevestigen dat aanvallers actief misbruik maken. WHM (voor hostingproviders) en cPanel (voor individuele hostingaccounts) worden veel gebruikt door hostingbedrijven en systeembeheerders, waardoor de impact groot kan zijn.

De fout is een authenticatie‑bypass die onbevoegden op afstand toegang geeft tot het controlepaneel en het uitvoeren van eigen code mogelijk maakt. Shadowserver zag minstens 44.000 ip‑adressen scannen; wereldwijd zijn circa 650.000 cPanel‑instances publiek bereikbaar, waarvan bijna 13.000 in Nederland. Het precieze aantal gecompromitteerde systemen is onbekend. Patches zijn beschikbaar sinds 28 april, maar er zijn meldingen dat misbruik mogelijk al sinds 23 februari plaatsvindt.

Aanbevolen acties: direct de beschikbare updates installeren, logbestanden en accounts controleren, wachtwoorden en API‑sleutels roteren, en bij aanwijzingen van compromise systemen isoleren en forensisch onderzoeken. Neem bij twijfel contact op met je hostingprovider of nationale CERT.