สรุปสั้น
ช่องโหว่ CVE-2026-41940 ใน cPanel และ WHM มีคะแนน CVSS 9.8 ระดับ Critical เป็นปัญหา authentication bypass ช่องโหว่ถูกใช้โจมตีจริงตั้งแต่เดือน กุมภาพันธ์ 2569 ก่อนที่จะมีการเปิดเผยสาธารณะเมื่อ 28 เมษายน กลุ่มผู้โจมตี Mr_Rot13 ที่ปฏิบัติการลับๆ มาตั้งแต่ปี 2020 เป็นผู้อยู่เบื้องหลังแคมเปญฝัง backdoor หลังเปิดเผย มี IP ผู้โจมตีกว่า 2,000 แห่งทั่วโลกสแกนหาเซิร์ฟเวอร์ที่ยังไม่แพตช์ มัลแวร์ที่ฝังจะเปลี่ยนรหัสผ่าน root ติดตั้ง SSH keys วาง PHP webshells และขโมย credentials จากหน้า login กระทบ cPanel/WHM ทุกเวอร์ชันหลัง 11.40 — แพตช์ฉุกเฉินออกแล้ว
รายละเอียดข่าว
cPanel เป็นระบบจัดการ web hosting ที่ใช้กันอย่างแพร่หลายที่สุดในโลก โดยเฉพาะในหมู่ผู้ให้บริการ hosting รายย่อยและขนาดกลาง ช่องโหว่นี้ถูกค้นพบว่ามีการโจมตีจริงก่อนที่จะถูกเปิดเผย (zero-day) ตั้งแต่ปลายเดือนกุมภาพันธ์ 2569 นักวิจัยจาก QiAnXin XLab เป็นผู้เชื่อมโยงการโจมตีกับกลุ่ม Mr_Rot13 ซึ่งมีประวัติยาวนานตั้งแต่ปี 2020 ตลอด 6 ปีที่ผ่านมา อัตราการตรวจจับมัลแวร์และ infrastructure ของ Mr_Rot13 ยังคงต่ำมากในผลิตภัณฑ์ security ทั่วไป หลังจากมีการเปิดเผยช่องโหว่ การโจมตีขยายวงกว้างครอบคลุม cryptomining, ransomware (แคมเปญ “Sorry”), botnets และ backdoors cPanel ออกแพตช์ฉุกเฉิน (emergency update) เพื่อแก้ไขปัญหานี้ เซิร์ฟเวอร์ที่ยังไม่อัปเดตมีความเสี่ยงสูงมากเนื่องจาก exploit ง่ายและมีผู้โจมตีจำนวนมาก
รายละเอียดช่องโหว่
ปัญหาเกิดจาก CRLF injection ในกระบวนการ login และ session loading:
- ผู้โจมตีดัดแปลง
whostmgrsessioncookie โดยตัดส่วนที่คาดหวังออก - Inject อักขระ
\r\nผ่าน malicious basic authorization header - ระบบเขียน session file โดยไม่ sanitize ข้อมูล
- ผู้โจมตีแทรก property
user=rootเข้าไปใน session file - ผลลัพธ์คือได้สิทธิ์ root บนเซิร์ฟเวอร์ทั้งหมดโดยไม่ต้องรู้รหัสผ่าน
สิ่งที่มัลแวร์ทำหลังเข้าถึง:
- เปลี่ยนรหัสผ่าน root
- ติดตั้ง SSH keys ของผู้โจมตี
- วาง PHP webshells
- Inject JavaScript อันตรายในหน้า login ของ cPanel เพื่อขโมย credentials ผู้ใช้
- ดาวน์โหลดและรัน backdoor ชื่อ “Filemanager”
- ลบร่องรอยการติดตั้ง
ผลกระทบต่อไทย
ประเทศไทยมีผู้ให้บริการ web hosting จำนวนมากที่ใช้ cPanel/WHM ทั้งรายใหญ่และรายย่อย เว็บไซต์ของธุรกิจ SME, ร้านค้าออนไลน์ และแม้แต่หน่วยงานราชการบางแห่งก็โฮสต์บนเซิร์ฟเวอร์ที่ใช้ cPanel
หากเซิร์ฟเวอร์ hosting ในไทยถูกโจมตี ผลกระทบจะลามไปยังเว็บไซต์ทั้งหมดที่อยู่บนเซิร์ฟเวอร์นั้น อาจรวมถึงหลายสิบหรือหลายร้อยเว็บไซต์ต่อเซิร์ฟเวอร์ รวมถึงข้อมูลลูกค้า ฐานข้อมูล และอีเมลทั้งหมด
คำแนะนำ
- อัปเดต cPanel/WHM เป็นเวอร์ชันล่าสุดที่แพตช์แล้ว ทันที
- ตรวจสอบ SSH authorized_keys ว่ามี keys แปลกปลอมหรือไม่
- สแกนหา PHP webshells ในไดเรกทอรีของเว็บไซต์
- ตรวจสอบว่ารหัสผ่าน root ถูกเปลี่ยนโดยไม่ได้รับอนุญาตหรือไม่
- รีเซ็ต credentials ทั้งหมดหากพบสัญญาณการโจมตี
