Giriş
Son dönemde, siber güvenlik alanında kritik bir tehdit olarak öne çıkan cPanel üzerindeki bir güvenlik açığı, saldırganlar tarafından kötüye kullanılmaya başlandı. Bu durum, hem web yöneticileri hem de hizmet sağlayıcıları için ciddi riskler taşımaktadır.
Saldırı Nasıl Çalışıyor?
Saldırı, CVE-2026-41940 koduyla tanımlanan bir güvenlik açığından faydalanarak gerçekleştirilmektedir. Bu açıklık, cPanel ve WebHost Manager (WHM) üzerinde kimlik doğrulama atlaması ile uzaktan kontrol elde edilmesine olanak tanımaktadır. Saldırganlar, bu açık kullanılarak aşağıdaki eylemleri gerçekleştirmektedir:
- Kripto para madenciliği
- Ransomware dağıtımı
- Botnet yayılması
- Arka kapı yerleştirilmesi
Etkilenen Sistemler
Saldırılara maruz kalan sistemler, dünyada 2,000’den fazla IP adresi tarafından hedef alınmaktadır. Bu adreslerin çoğu Almanya, ABD, Brezilya, Hollanda ve diğer bölgelerden gelmektedir. Saldırının temel amacı, ele geçirilmiş cPanel sistemlerine arka kapı yerleştirerek sistem üzerinde tam kontrol elde etmektir.
Güvenlik Analizi
Saldırganlar, ele geçirilen sistemlere özel bir shell script kullanarak uzaktan indirdikleri bir Go tabanlı enfektörü yüklemektedir. Bu enfektör, sistemde kalıcı erişim sağlamak için bir SSH halka anahtarı bırakmakta ve dosya yükleme/indirme ile uzaktan komut çalıştırma imkanı veren bir PHP web kabuğu oluşturmaktadır.
Web kabuğu, kullanıcı giriş bilgilerini çalmak için özel bir giriş sayfası sunmakta ve bu bilgileri ROT13 şifrelemesi kullanarak saldırganın kontrolündeki bir sisteme yönlendirmektedir. Saldırı zinciri, farklı işletim sistemlerini enfekte edebilen bir çapraz platform arka kapısı ile son bulmaktadır.
Çözüm ve Korunma
Bu tür saldırılara karşı alınacak önlemler şunlardır:
- cPanel ve WHM versiyonlarınızı güncelleyin.
- Güvenlik yamalarını düzenli olarak uygulayın.
- Olası saldırılara karşı log kayıtlarınızı izleyin.
- Güçlü şifreler kullanarak kimlik doğrulama güvenliğini artırın.
Sonuç
Kullanıcıların ve hizmet sağlayıcıların derhal sistemlerini güncellemeleri ve güvenlik önlemlerini artırmaları kritik öneme sahiptir. Ayrıca, sistemde bulunan açıkları kapatmak için gerekli adımları atmak ve bağlantı noktalarındaki gereksiz servisleri kapatmak, siber saldırılara karşı koruma sağlayacaktır.
