Một chiến dịch tấn công mạng nghiêm trọng chưa rõ nguồn gốc vừa bị phát hiện đang nhắm mục tiêu vào các tổ chức chính phủ, quân sự tại Đông Nam Á, cùng với một nhóm nhỏ các nhà cung cấp dịch vụ quản trị (MSP) và nhà cung cấp dịch vụ lưu trữ tại Philippines, Lào, Canada, Nam Phi và Hoa Kỳ, thông qua việc khai thác lỗ hổng cPanel mới được công bố gần đây.

Cơ chế về lỗ hổng cPanel (CVE-2026-41940)

Chiến dịch này được tổ chức Ctrl-Alt-Intel phát hiện vào ngày 2/5/2026, liên quan đến việc lạm dụng mã lỗi CVE-2026-41940.

CVE-2026-41940 là lỗ hổng nghiêm trọng trong cPanel và WebHost Manager (WHM), cho phép kẻ tấn công từ xa vượt qua cơ chế xác thực và chiếm quyền kiểm soát nâng cao đối với bảng điều khiển quản trị hệ thống.

Các cuộc tấn công được ghi nhận bắt nguồn từ địa chỉ IP 95.111.250.175. Kẻ tấn công đã sử dụng các mã khai thác mẫu (PoC) công khai để nhắm chọn lọc vào:

  • Tên miền chính phủ và quân sự Philippines (*.mil.ph.ph).
  • Tên miền chính phủ Lào (.gov.la).
  • Các MSP và nhà cung cấp dịch vụ lưu trữ lớn.

Chuỗi khai thác tùy chỉnh nhắm vào quốc phòng Indonesia

Trước khi chuyển sang cPanel, tác nhân đe dọa này đã sử dụng một chuỗi khai thác tùy chỉnh tinh vi để tấn công một cổng thông tin đào tạo thuộc khu vực quốc phòng của Indonesia.

Theo Ctrl-Alt-Intel, kẻ tấn công đã sở hữu sẵn thông tin xác thực hợp lệ và thực hiện các bước sau:

  1. Bypass CAPTCHA: Kịch bản tấn công sử dụng thông tin xác thực được mã hóa cứng và vô hiệu hóa CAPTCHA bằng cách đọc giá trị dự kiến từ session cookie do máy chủ cấp phát, thay vì giải quyết thách thức theo cách thông thường.
  2. Chèn mã SQL (SQLi) và RCE: Sau khi vào hệ thống, kẻ tấn công chuyển đến chức năng quản lý tài liệu. Tại điểm cuối (endpoint) lưu tài liệu, chúng chèn mã SQL vào trường dữ liệu tên tài liệu thông qua yêu cầu POST để thực thi mã từ xa (RCE).

Hiện tại vẫn chưa rõ thực thể nào đứng sau chiến dịch này, nhưng diễn biến này xảy ra trùng thời điểm Censys tuyên bố tìm thấy bằng chứng cho thấy lỗ hổng cPanel đang bị vũ khí hóa bởi nhiều bên thứ ba trong vòng 24 giờ kể từ khi công bố công khai, bao gồm cả việc triển khai các biến thể botnet Mirai và một biến chủng mã độc tống tiền có tên là” Sorry”.

Theo dữ liệu từ Shadowserver Foundation, có ít nhất 44.000 địa chỉ IP có khả năng đã bị thỏa hiệp qua mã lỗi CVE-2026-41940 và tham gia vào các cuộc quét cũng như tấn công dò lặp mật khẩu nhắm vào các hệ thống bẫy của tổ chức này vào ngày 30 tháng 4 năm 2026. Tính đến ngày 3/5/2026, con số này đã giảm xuống còn 3.540.

Tình hình diễn biến khi cPanel đã phát hành một phiên bản mới của script phát hiện nhằm hỗ trợ loại bỏ thêm các cảnh báo sai.

Khuyến nghị hành động từ các chuyên gia bảo mật

Hiện tại, cPanel đã phát hành phiên bản cập nhật mới của script phát hiện nhằm giảm thiểu các cảnh báo sai.

Các chuyên gia khuyến cáo các quản trị viên hệ thống cần:

  • Khẩn cấp áp dụng các bản vá lỗi mới nhất từ cPanel/WHM.

  • Thực hiện rà soát hệ thống dựa trên các dấu hiệu xâm nhập (IoCs) đã được công bố để làm sạch môi trường mạng ngay lập tức.