cPanel漏洞引发Sorry勒索软件供应链攻击,我们看到了什么?

各位少侠好，我是千里。

过去两周，一场利用cPanel认证绕过漏洞（CVE-2026-41940）的大规模攻击正在全球范围内蔓延。攻击者无需任何凭据，只需要发送几个特制的HTTP请求，就能获得root级别的WHM管理权限。

截至5月7日，Shadowserver Foundation监测到超过44,000个独立IP从事扫描和利用活动，全球至少40,000台服务器已被攻陷。Censys的数据显示，其中8,859台主机上出现了".sorry"勒索软件文件标记，7,135台确认为cPanel/WHM服务器。

多家安全厂商确认，该漏洞在cPanel官方于4月28日发布补丁之前至少30天就已经在野利用。5月1日，CISA将该漏洞纳入已知被利用漏洞（KEV）目录。但目前来看，仍有大量服务器未完成修补。

这场攻击涉及的不仅仅是一个漏洞，而是一整套攻击链条。Sorry勒索软件、Mirai僵尸网络、国家背景APT攻击……多种威胁同时在cPanel这个脆弱的入口上叠加。

我在知识星球「隐侠技术客栈」同步更新了事件进展。这里先拆解一下漏洞本身的技术细节。

三个环节组成的认证绕过

CVE-2026-41940不是单点漏洞，而是由三个逻辑缺陷链式组合形成的认证绕过。

第一环：Session文件写入与CRLF注入

cPanel的session以文件形式存储在/var/cpanel/sessions/raw/:<id>。格式是扁平的key=value列表，每行一条记录。文件中存储的内容包括user、pass、hasroot、tfa_verified等字段。

当session加载器读到successful_internal_auth_with_timestamp这个字段时，会将会话标记为已认证。攻击者要做的，就是把这个字段写进session文件。

问题出在Cpanel::Session::saveSession()函数——它在写入session文件之前，没有调用filter_sessiondata()进行CRLF过滤。对比来看，另一个函数Cpanel::Session::create()则会正常调用filter_sessiondata()。

这意味着攻击者可以在Basic认证头的password字段中嵌入\r\n字符，向session文件中注入额外的key=value行：

Authorization: Basic base64("任意内容\nuser=root\nhasroot=1\ntfa_verified=1\nsuccessful_internal_auth_with_timestamp=1746000000")

每一行被写入session文件后，都会成为独立的记录。

第二环：ob段的加密绕过

cPanel登录后会下发一个whostmgrsession cookie，格式为whostmgrsession=<base>,<obhex>。<obhex>是一个32字符的十六进制串，用作per-session编码密钥。当ob段存在时，cPanel会对pass字段进行对称加密。

然而，如果攻击者构造一个不带ob段的cookie（只有whostmgrsession=<base>，没有逗号及后面的内容），cpsrvd会跳过加密流程，直接将Basic认证头的密码原样写入session文件。

这被称为一段"bypassing the encryption process"，由Github安全研究员Ryan Emmons（Rapid7）发现并披露。

第三环：Cache晋升机制

session文件写入了还不够，cPanel还有一个缓存机制。攻击者需要通过/scripts2/listaccts等无需cp_security_token的端点，触发session加载器读取磁盘上的session文件，将恶意字段晋升到活跃缓存中。这个过程在内部称为cache promotion。

至此，攻击者完成了一次完整的认证绕过——不需要知道任何真实凭据，不需要绕过双因素认证，因为在注入阶段已经写入了tfa_verified=1。

从漏洞到勒索：四阶段的攻击链路

综合多方分析，攻击链条如下：

阶段1：Session预创建— 向目标2087端口发送带有无效凭据的登录请求，获取 cookie。
阶段2：CRLF载荷注入— 去掉cookie中的ob段，构造含CRLF序列的Basic Authorization头重放请求。注入whostmgrsession、user=root、hasroot=1、tfa_verified=1、successful_internal_auth_with_timestamp、/scripts2/listaccts等字段。
阶段3：Cache晋升— 请求端点，触发session加载器从磁盘读取raw session文件，将所有注入字段加载到缓存。
阶段4：权限获取与横向移动— 通过WHM界面执行命令、修改root密码、安装后门。cPanelSniper工具在这一阶段提供交互式Shell访问，支持批量操作。

补丁发布后72小时内，安全研究员Mitsec公开了名为"cPanelSniper"的武器化PoC。这是一个纯Python 3.8+实现的零依赖工具，支持批量扫描、Subfinder/Shodan管道集成、交互式WHM Shell访问。

随着PoC公开，攻击活动迅速扩散。攻击者IP为95.111.250[.]175，使用公开PoC对全球目标进行批量扫描。攻击目标集中在菲律宾军方（.mil.ph）、老挝政府门户（.gov.la）、印尼国防训练门户，以及多个国家的托管服务提供商（MSP）。

根因思考：为什么一个"老漏洞"能瘫痪全球4万台服务器

站在技术和事件之外，有几个更值得思考的问题。

第一，代码路径分化是安全漏洞的温床。

saveSession()和create()两个函数处理着本质上相同的逻辑——将session数据写入文件。但一个调用了filter_sessiondata()，另一个没有。cPanel是一个运行了二十多年的成熟软件，session模块经过了无数次迭代，不同开发者在不同时期为该模块贡献了不同的代码路径。当新代码路径加强了安全过滤，旧路径却未被同步修改时，漏洞就埋下了。

这种情况在很多长期维护的大型项目中都存在。一个函数加了安全检查，另一个功能相似的函数却因为"没人记得"而遗漏了。

第二，CRLF注入——一类已经存在了30年的漏洞，依然能在最核心的认证模块中打出致命伤害。

这种攻击手法在上世纪90年代末的HTTP规范讨论中就已经被广泛认识。但在2026年，它仍然是cPanel认证绕过的关键环节。安全行业在"发现新漏洞"上投入了大量精力，但基础类型漏洞的防御还没有真正覆盖到每一行代码。

第三，供应链攻击的规模化效应。

攻击者选择MSP作为切入点是典型的供应链策略。一家托管服务商被攻陷，可能意味着成百上千的下游客户同时暴露。HIBP的数据显示，Game社区Reborn Gaming已有约126个账户因此次攻击被泄露。这还只是直接可见的损失。

对于使用了托管服务的企业来说，自身的防护能力再强，也受制于上游服务商的安全水位。CISO需要的不只是内部安全策略，还需要对供应商安全做实际的审查。

第四，从补丁到大规模利用的时间窗口正在缩短。

cPanel在4月28日发布补丁，5月1日cPanelSniper PoC公开，5月3日大规模自动化扫描开始。72小时内，从补丁发布到自动化利用完成周转。这不是最快的，但趋势很明显——攻击者的自动化程度和响应速度都在提升。

防御建议

如果你的服务器还在用cPanel：

立即升级至11.86.0.41及以上版本

限制WHM端口（2087）的入站流量，仅允许可信IP访问

排查目录下是否存在包含异常字段的session文件/var/cpanel/sessions/raw/

检查access日志中是否存在大量无的请求cp_security_token的/scripts2/listaccts

使用cPanel官方的IOC检测脚本进行检查ioc_checksessions_files.sh

如果你在安全团队，建议关注以下信号：.sorry文件扩展名、异常的cPanel/WHM登录日志、以及大量发往2087端口的畸形的HTTP请求。

关于这次事件的更详细技术分析，包括完整的session文件格式解析、whostmgrsession cookie的各个字段含义、绕过背后的代码分析，已经发布在知识星球「隐侠技术客栈」。

此次事件的IoC列表、检测脚本的详细使用方法，也会在星球内持续更新。

加入我们，和众多安全从业者一起追踪前沿威胁。

参考资讯

https://www.securityweek.com/over-40000-servers-compromised-in-ongoing-cpanel-exploitation/
https://thehackernews.com/2026/05/critical-cpanel-vulnerability.html

https://www.bleepingcomputer.com/news/security/critical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/
https://www.picussecurity.com/resource/blog/cve-2026-41940-explained-cpanel-whm-authentication-bypass-hit-1-5m-servers
https://www.helpnetsecurity.com/2026/05/05/cve-2026-41940-cpanel-exploited/
https://nvd.nist.gov/vuln/detail/CVE-2026-41940
https://github.com/ynsmroztas/cPanelSniper