Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat alle Bundesbehörden angewiesen, bis zum 3. Mai eine kritische Sicherheitslücke, CVE-2026-41940, zu schließen, die kritische Server und Website-Verwaltungssysteme betrifft. Die Schwachstelle besteht in cPanel- und WHM-Produkten von WebPros International. Dieses Linux-basierte Website-Hosting-Kontrollfeld wird häufig zur Verwaltung von Websites und Servern verwendet. Millionen von Domain-Namen auf der ganzen Welt sind auf verwandte Lösungen angewiesen.

Das Incident-Response-Team des Sicherheitsunternehmens Rapid7 sagte, dass ein erfolgreicher Exploit es einem Angreifer ermöglichen könnte, die vollständige Kontrolle über das System, das cPanel hostet, seine Konfiguration, Datenbanken und gehosteten Websites zu übernehmen. Der Fehler weist einen CVSS-Risikowert von 9,8 von 10 auf. Experten warnen, dass Hacker damit Server vollständig kompromittieren, gehostete Daten stehlen oder manipulieren und schwerwiegendere Kettenreaktionen wie groß angelegte Dienstunterbrechungen auslösen können.

Mehrere Cybersicherheitsunternehmen haben darauf hingewiesen, dass derzeit Tausende von cPanel-Instanzen im Internet offengelegt sind, die von dieser Sicherheitslücke betroffen sein könnten. CISA bestätigte am Donnerstag, dass die Sicherheitslücke in freier Wildbahn ausgenutzt wird. Neben der Veröffentlichung von Fixes hat cPanel auch ein Tool auf den Markt gebracht, das Unternehmen dabei hilft, zu erkennen, ob ihre Umgebungen kompromittiert wurden.

Der Fehler wurde diese Woche erstmals von Experten des Cybersicherheitsunternehmens watchTowr aufgedeckt, das auch Tools für Verteidiger herausbrachte, um gefährdete Hosts in ihren Assets zu identifizieren. Andere Behörden legten daraufhin Beweise dafür vor, dass entsprechende Angriffe bereits im Februar dieses Jahres begonnen hatten.

Der US-Domainnamen-Registrar Namecheap hat diese Woche eine Mitteilung herausgegeben, um Kunden daran zu erinnern, dass die Maßnahmen, die er zur Behebung der Sicherheitslücke ergriffen hat, den Benutzerzugriff auf cPanel- und WHM-Verwaltungsschnittstellen für einen bestimmten Zeitraum einschränken können. Benjamin Harris, CEO von WatchTowr, sagte, dass innerhalb weniger Stunden nach der ersten Sicherheitswarnung von cPanel fast jeder große Hosting-Anbieter Firewall-Maßnahmen implementiert habe, um seine Kunden von ihren Produkten fernzuhalten.

„Hosting.com, Namecheap, KnownHost, HostPapa, InMotion, sie alle treten auf die Notbremse, weil die Alternative darin besteht, zuzusehen, wie ihr gesamter Kundenstamm durch einen Live-Angriff übernommen wird“, sagte Harris. Er fügte hinzu, dass es sich anfühlt, als ob „das halbe Internet in Flammen steht“ und dass diese „neue Normalität“ wahrscheinlich immer häufiger auftreten wird, da KI immer häufiger bei der Suche nach Schwachstellen eingesetzt wird.