Una vulnerabilità critica di cPanel sta mettendo in ginocchio migliaia di siti web in tutto il mondo. A quasi una settimana dall’allarme lanciato dai produttori del popolare software di gestione server, gli hacker hanno iniziato a sfruttare massicciamente il bug per prendere il controllo completo dei server che utilizzano cPanel e WebHost Manager (WHM).
I numeri parlano da soli, e sono piuttosto inquietanti. Secondo Shadowserver, organizzazione no profit che monitora la rete alla ricerca di attacchi informatici, esistono oltre 550.000 server potenzialmente vulnerabili su cui gira cPanel. Un dato rimasto sostanzialmente stabile per giorni. Le istanze di cPanel probabilmente già compromesse sono circa 2.000 al momento, un numero comunque significativo anche se in calo rispetto alle 44.000 registrate giovedì scorso. Quel calo non deve ingannare troppo, perché la portata dell’attacco è stata enorme e le conseguenze si vedono ancora.
Giovedì scorso alcuni ricercatori di sicurezza informatica avevano segnalato che gli hacker stavano compromettendo i server con cPanel e WHM installato, sfruttando un bug che permetteva loro di ottenere il pieno controllo attraverso i pannelli di gestione. Parliamo di un accesso totale, il tipo di scenario che toglie il sonno a qualsiasi amministratore di sistema.
Ransomware, riscatti e siti oscurati: i danni concreti della falla cPanel
La gravità della situazione emerge anche da un dettaglio piuttosto visibile: Google ha indicizzato decine di siti web che a un certo punto mostravano un messaggio da parte di un gruppo di hacker. Nel messaggio veniva dichiarato che i file della vittima erano stati crittografati, in quello che aveva tutte le caratteristiche di un attacco ransomware. Alcuni di quei siti nel frattempo sono tornati a funzionare normalmente, ma la nota di riscatto includeva un ID chat per contattare i responsabili dell’attacco.
La CISA, ovvero la Cybersecurity and Infrastructure Security Agency degli Stati Uniti, ha lanciato l’allarme giovedì, confermando che la vulnerabilità, tracciata come CVE-2026-41940, veniva già attivamente sfruttata. L’agenzia federale ha aggiunto la falla al proprio catalogo delle vulnerabilità note sfruttate (KEV) e ha chiesto alle agenzie governative di applicare la patch entro domenica. Non è ancora chiaro se tutte le agenzie abbiano effettivamente provveduto ad aggiornare i propri server.
Gli attacchi a cPanel potrebbero essere iniziati mesi prima della divulgazione
La cosa forse più preoccupante è che gli attacchi contro i server con cPanel e WHM potrebbero essere in corso da molto prima che la vulnerabilità fosse resa pubblica. Secondo Daniel Pearson, CEO di KnownHost, la sua azienda aveva rilevato attacchi già dal 23 febbraio. Questo significa che per settimane, forse mesi, gli hacker hanno avuto campo libero su server vulnerabili senza che nessuno se ne accorgesse pubblicamente.
Da parte sua, un portavoce di cPanel ha confermato di aver ricevuto richieste di commento, ma non ha fornito alcuna risposta concreta sulla vicenda. Il silenzio dell’azienda, in un momento del genere, non aiuta certo a rassicurare gli oltre mezzo milione di amministratori di server potenzialmente esposti. Chi gestisce siti su piattaforme basate su cPanel dovrebbe verificare immediatamente la versione del software in uso e applicare tutti gli aggiornamenti di sicurezza disponibili, perché la finestra di esposizione si è rivelata molto più ampia di quanto inizialmente ipotizzato.
