Hack Alerta

Hackers invadem servidores governamentais e militares explorando vulnerabilidade do cPanel

Por Redação Hack Alerta Publicado em 02/05/2026 14:01 Cyber ataques Tempo de leitura: 6 min

Campanha sofisticada explora falha crítica no cPanel (CVE-2026-41940) para invadir servidores governamentais e militares, exfiltrando 4GB de dados sensíveis. Detalhes técnicos e IoCs disponíveis.

Uma campanha cibernética sofisticada direcionada a infraestruturas governamentais e militares do Sudeste Asiático foi desmantelada após a exploração de uma falha crítica no cPanel, resultando no roubo de mais de 4GB de documentos sensíveis de uma entidade ferroviária chinesa.

O ataque, detalhado pela equipe de inteligência Ctrl-Alt-Intel, combina a exploração imediata de uma vulnerabilidade de bypass de autenticação no cPanel (CVE-2026-41940) com uma cadeia de exploits personalizados contra um portal de defesa indonésio, demonstrando um nível de operacionalidade avançado que visa a coleta de inteligência regional.

Descoberta e escopo da campanha

A investigação revelou que os atacantes não se limitaram à exploração da vulnerabilidade de autenticação do cPanel. O vetor de acesso inicial centrou-se no CVE-2026-41940, uma falha crítica com pontuação CVSS 9.8 que afeta todas as versões do cPanel e WHM posteriores à v11.40. A falha explora uma injeção CRLF (Carriage Return Line Feed) nos processos de login e carregamento de sessão, permitindo que um atacante não autenticado manipule o cookie whostmgrsession e obtenha acesso administrativo completo ao nível de root sem credenciais válidas.

A exploração foi confirmada em atividade antes mesmo do patch ser liberado pela cPanel em 28 de abril de 2026, levando a CISA a adicionar a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas. Neste caso específico, a exploração do cPanel representou apenas um componente de uma operação mais ampla e alarmante, descoberta a partir de um servidor de comando e controle (C2) exposto.

Detalhamento técnico da exploração

Mais significativamente, os pesquisadores recuperaram um exploit personalizado direcionado a um portal de treinamento do setor de defesa indonésio. O ator da ameaça já possuía credenciais válidas e contornou o mecanismo de CAPTCHA do portal lendo o valor esperado do CAPTCHA diretamente do cookie de sessão emitido pelo servidor, tornando o desafio completamente ineficaz sem a necessidade de resolvê-lo.

Uma vez dentro, o ator direcionou-se a uma função de gerenciamento de documentos, injetando SQL no campo de nome do documento através de um endpoint de salvamento vulnerável. A injeção SQL foi então escalonada para acesso completo ao sistema operacional explorando a capacidade do PostgreSQL de executar comandos arbitrários através da função COPY ... TO PROGRAM.

A saída do comando foi capturada em /tmp, codificada em base64 e reingerida nos registros da aplicação usando pg_read_file() — um canal de exfiltração furtivo baseado em leitura de arquivos nativo da camada de banco de dados.

Táticas de persistência e pivô

Para garantir acesso duradouro e persistente, o ator combinou OpenVPN e Ligolo em uma pilha de pivô em camadas. Um servidor OpenVPN foi implantado no endereço 95.111.250[.]175:1194/UDP desde 8 de abril de 2026, roteando através da sub-rede 10.8.0.0/24.

O agente proxy Ligolo foi instalado sob um diretório oculto /usr/local/bin/.netmon/, disfarçado como um serviço systemd nomeado systemd-update.service, e configurado para reiniciar automaticamente — fornecendo reentrada persistente mesmo após reinicializações.

Roteando através dessa infraestrutura de pivô, o ator alcançou um host interno em 10.16.13.88 e implantou exfil_docs_v2.sh, um script de exfiltração personalizado baseado em SFTP.

Impacto e alcance da campanha

No total, 110 arquivos (aproximadamente 4,37GB) foram roubados do Comitê de Eletrificação da Sociedade Ferroviária da China, abrangendo formatos .pptx, .pdf, .docx e .xlsx datados de 2020 a 2024. Entre os materiais mais sensíveis estavam planilhas financeiras de 2021 contendo nomes completos, números de identidade nacional da RPC, detalhes de contas bancárias e números de telefone.

A Fundação Shadowserver confirmou em 30 de abril de 2026 que 44.000 endereços IP únicos foram observados varrendo em busca de vítimas, lançando exploits ou conduzindo ataques de força bruta contra seus sensores honeypot.

Indicadores de comprometimento (IoCs)

Os seguintes indicadores foram identificados e devem ser monitorados em ambientes corporativos e governamentais:

  • IP Address: 95.111.250[.]175 (Servidor VPS principal do atacante; OpenVPN, reverse shell e infraestrutura de pivô)
  • Domain: delicate-dew.serveftp[.]com (Domínio associado à mesma infraestrutura; presente no material de certificado recuperado)
  • File Name: systemd-update.service (Serviço de persistência Linux mascarado)
  • File Path: /usr/local/bin/.netmon/systemd-helper (Caminho de payload de reverse-connect Linux oculto)
  • File Name: init.ps1 (Payload de reverse shell PowerShell)
  • SHA-256: 64674342041873DBB18B1DD9BB1CA391AF85B5E755DEFFB4C1612EF668349325 (Hash de init.ps1)
  • File Name: exploit_siak_bahasa.py (Explorador SQLi autenticado → PostgreSQL RCE personalizado)
  • SHA-256: 974E272AD1DC7D5AADC3C7A48EC00EB201D04BA59EC5B0B17C2F8E9CD2F9C9CD (Hash de exploit_siak_bahasa.py)
  • File Name: exfil_docs_v2.sh (Script de exfiltração de documentos SFTP / lftp personalizado)
  • SHA-256: 734F0D04DC2683E19E629B8EC7F55349B5BCFF4EB4F2F36F6ADBBDE1C023A24F (Hash de exfil_docs_v2.sh)
  • File Name: 1 (Payload ELF de reverse-connect / pivô Linux recuperado junto com a cadeia de exploits personalizada)
  • SHA-256: 1CFEADF01D24182362887B7C5F683E8BDB0E84CDDCE03E3B7564B2D9AB5D15CF (Hash do payload ELF 1)

Nota: Os endereços IP e domínios estão intencionalmente defanged (por exemplo, [.]) para evitar resolução acidental ou hiperlinking. Re-fang apenas dentro de plataformas de inteligência de ameaças controladas como MISP, VirusTotal ou seu SIEM.

Recomendações para CISOs e equipes de segurança

Organizações que executam cPanel/WHM são instadas a corrigir para a versão mais recente imediatamente e auditar os logs do servidor em busca de sinais de manipulação de sessão baseada em CRLF. Além disso, recomenda-se:

  1. Auditoria de Logs: Verificar logs de autenticação e acesso ao sistema de arquivos por atividades anômalas, especialmente após o horário comercial.
  2. Monitoramento de Rede: Bloquear tráfego de saída para os IPs e domínios listados nos IoCs acima.
  3. Revisão de Permissões: Garantir que contas de banco de dados não tenham privilégios excessivos, especialmente capacidades de execução de comandos no sistema operacional.
  4. Hardening do cPanel: Desabilitar serviços não utilizados e garantir que o cPanel esteja sempre atualizado com os patches de segurança mais recentes.

Perguntas frequentes

Esta vulnerabilidade afeta apenas servidores no Sudeste Asiático? Não. Embora o alvo específico tenha sido o Sudeste Asiático, a vulnerabilidade CVE-2026-41940 afeta todas as instalações do cPanel/WHM em qualquer região do mundo que não tenham sido atualizadas.

Como posso verificar se meu servidor foi comprometido? Verifique a existência de arquivos ocultos em /usr/local/bin/.netmon/, serviços systemd incomuns como systemd-update.service e conexões de rede ativas para os IPs de C2 listados.

É necessário reiniciar os servidores após a correção? Sim, recomenda-se reiniciar os serviços do cPanel e, se possível, o servidor completo após a aplicação do patch para garantir que qualquer processo malicioso em memória seja encerrado.

Baseado em publicação original de Cyber Security News
Tags: #=cpanel #vulnerabilidade #governo #exfiltração #rce #persistencia #cve #ataque #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar