Specjaliści ds. bezpieczeństwa ostrzegają przed nowo wykrytą luką w zabezpieczeniach popularnego oprogramowania do zarządzania serwerami internetowymi cPanel oraz WebHost Manager (WHM).
Jest to krytyczna luka w zabezpieczeniach cPanel/WHM umożliwiająca ominięcie uwierzytelniania, która jest obecnie aktywnie wykorzystywana przez hakerów. Pozwala ona atakującym uzyskać dostęp administracyjny do interfejsu bez podawania danych logowania, co może skutkować przejęciem kontroli nad serwerami i wszystkimi hostowanymi witrynami.
Luka w zabezpieczeniach, oznaczona numerem CVE-2026-41940, została dodana do katalogu znanych luk wykorzystywanych w atakach przez Agencję ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA), co oznacza, że istnieją dowody na to, iż jest ona wykorzystywana w rzeczywistych atakach.
Ponieważ z cPanel/WHM korzysta ponad milionstron internetowych na całym świecie, w tym banki i organizacje służby zdrowia, potencjalne skutki są ogromne. Mówiąc prościej, ta luka może działać jak klucz do głównych drzwi prowadzących do znacznej części infrastruktury hostingowej w sieci.
28 kwietnia 2026 r. firma cPanel opublikowała poprawki i wezwała wszystkich klientów oraz dostawców usług hostingowych do aktualizacji. Poinformowała, że problem dotyczy wszystkich obsługiwanych wersji od wersji 11.40 wzwyż, w tym DNSOnly i WP Squared.
Dostawcy usług hostingowych, w tym Namecheap, HostGator i KnownHost, tymczasowo zablokowali dostęp do interfejsów cPanel na czas wprowadzania poprawek, uznając to za krytyczną lukę umożliwiającą ominięcie uwierzytelniania i zgłaszając próby wykorzystania tej luki sięgające końca lutego 2026 roku.
Jak zachować bezpieczeństwo
Chociaż to na dostawcach usług hostingowych i właścicielach stron spoczywa obowiązek jak najszybszego zainstalowania poprawek, istnieją sposoby na zmniejszenie ryzyka w przypadku, gdy strona, z której korzystasz, zostanie zaatakowana.
Jak zawsze, ograniczaj ilość danych, które udostępniasz stronom internetowym, do absolutnego minimum. Dane, których nie posiadają, nie mogą zostać skradzione.
Składając zamówienie w sklepie internetowym, nie zaznaczaj pola wyboru umożliwiającego zapisanie danych karty na przyszłe zakupy, ponieważ zostaną one zapisane na serwerze.
Jeśli istnieje możliwość dokonania zakupu jako gość, skorzystaj z niej. Dzięki temu zmniejszysz ilość danych osobowych powiązanych z kontem.
Nie używaj tych samych haseł. Jeśli jedna strona zostanie zhakowana, a te same dane logowania są używane w wielu miejscach, może to doprowadzić do przejęcia wielu kont. Menedżer haseł pomoże Ci tworzyć złożone, unikalne hasła i zapamięta je za Ciebie.
Jeśli to możliwe, płacisz kartą kredytową. W wielu regionach zapewnia to lepszą ochronę przed oszustwami.
Twoje dane są prawdopodobnie już w sprzedaży.
Kiedy zhakowana zostaje strona, której ufasz
Jeśli uważasz, że padłeśofiarą naruszenia bezpieczeństwa danych, podejmij następujące kroki:
- Sprawdź zalecenia firmy.Każde naruszenie jest inne, więc skontaktuj się z firmą, aby dowiedzieć się, co się stało, i postępuj zgodnie z jej zaleceniami.
- Zmiana hasła. Możesz sprawić, że skradzione hasło będzie bezużyteczne dla złodziei, zmieniając je. Wybierz silne hasło, którego nie używasz do niczego innego. Jeszcze lepiej, pozwól menedżerowi haseł wybrać je za Ciebie.
- Włączuwierzytelnianie dwuskładnikowe (2FA).Jeśli to możliwe, jako drugi składnik uwierzytelniania użyj klucza sprzętowego zgodnego ze standardem FIDO2, laptopa lub telefonu. Niektóre formy uwierzytelniania 2FA mogą być równie łatwo podszyte jak hasło, ale uwierzytelnianie 2FA oparte na urządzeniu FIDO2 nie może zostać podszyte.
- Uważaj na oszustów.Złodzieje mogą kontaktować się z Tobą, podając się za platformę, która padła ofiarą ataku. Sprawdź na oficjalnej stronie internetowej, czy kontaktuje się ona z ofiarami, i zweryfikuj tożsamość każdej osoby, która kontaktuje się z Tobą za pośrednictwem innego kanału komunikacji.
- Nie spiesz się. Ataki phishingowe często podszywają się pod znane osoby lub marki i wykorzystują tematy, które wymagają pilnej uwagi, takie jak nieodebrane dostawy, zawieszenie konta i alerty bezpieczeństwa.
- Rozważ nieprzechowywanie danych swojej karty. Zdecydowanie wygodniej jest pozwolić witrynom zapamiętać dane karty, ale zwiększa to ryzyko w przypadku naruszenia bezpieczeństwa przez sprzedawcę.
- Skonfigurujmonitorowanie tożsamości, które powiadomi Cię, jeśli Twojedane osobowezostaną wykryte jako przedmiot nielegalnego handlu w Internecie, i pomoże Ci w podjęciu odpowiednich działań.
Co cyberprzestępcy wiedzą o Tobie?
Skorzystaj z bezpłatnego skanowania śladu cyfrowego Malwarebytes, aby sprawdzić, czy Twoje dane osobowe zostały ujawnione w Internecie.
