สรุปสั้น

ช่องโหว่ CVE-2026-41940 ใน cPanel และ WHM มีคะแนน CVSS 9.8 ระดับ Critical เป็นปัญหา authentication bypass ช่องโหว่ถูกใช้โจมตีจริงตั้งแต่เดือน กุมภาพันธ์ 2569 ก่อนที่จะมีการเปิดเผยสาธารณะเมื่อ 28 เมษายน กลุ่มผู้โจมตี Mr_Rot13 ที่ปฏิบัติการลับๆ มาตั้งแต่ปี 2020 เป็นผู้อยู่เบื้องหลังแคมเปญฝัง backdoor หลังเปิดเผย มี IP ผู้โจมตีกว่า 2,000 แห่งทั่วโลกสแกนหาเซิร์ฟเวอร์ที่ยังไม่แพตช์ มัลแวร์ที่ฝังจะเปลี่ยนรหัสผ่าน root ติดตั้ง SSH keys วาง PHP webshells และขโมย credentials จากหน้า login กระทบ cPanel/WHM ทุกเวอร์ชันหลัง 11.40 — แพตช์ฉุกเฉินออกแล้ว

รายละเอียดข่าว

cPanel เป็นระบบจัดการ web hosting ที่ใช้กันอย่างแพร่หลายที่สุดในโลก โดยเฉพาะในหมู่ผู้ให้บริการ hosting รายย่อยและขนาดกลาง ช่องโหว่นี้ถูกค้นพบว่ามีการโจมตีจริงก่อนที่จะถูกเปิดเผย (zero-day) ตั้งแต่ปลายเดือนกุมภาพันธ์ 2569 นักวิจัยจาก QiAnXin XLab เป็นผู้เชื่อมโยงการโจมตีกับกลุ่ม Mr_Rot13 ซึ่งมีประวัติยาวนานตั้งแต่ปี 2020 ตลอด 6 ปีที่ผ่านมา อัตราการตรวจจับมัลแวร์และ infrastructure ของ Mr_Rot13 ยังคงต่ำมากในผลิตภัณฑ์ security ทั่วไป หลังจากมีการเปิดเผยช่องโหว่ การโจมตีขยายวงกว้างครอบคลุม cryptomining, ransomware (แคมเปญ “Sorry”), botnets และ backdoors cPanel ออกแพตช์ฉุกเฉิน (emergency update) เพื่อแก้ไขปัญหานี้ เซิร์ฟเวอร์ที่ยังไม่อัปเดตมีความเสี่ยงสูงมากเนื่องจาก exploit ง่ายและมีผู้โจมตีจำนวนมาก

รายละเอียดช่องโหว่

ปัญหาเกิดจาก CRLF injection ในกระบวนการ login และ session loading:

  • ผู้โจมตีดัดแปลง whostmgrsession cookie โดยตัดส่วนที่คาดหวังออก
  • Inject อักขระ \r\n ผ่าน malicious basic authorization header
  • ระบบเขียน session file โดยไม่ sanitize ข้อมูล
  • ผู้โจมตีแทรก property user=root เข้าไปใน session file
  • ผลลัพธ์คือได้สิทธิ์ root บนเซิร์ฟเวอร์ทั้งหมดโดยไม่ต้องรู้รหัสผ่าน

สิ่งที่มัลแวร์ทำหลังเข้าถึง:

  • เปลี่ยนรหัสผ่าน root
  • ติดตั้ง SSH keys ของผู้โจมตี
  • วาง PHP webshells
  • Inject JavaScript อันตรายในหน้า login ของ cPanel เพื่อขโมย credentials ผู้ใช้
  • ดาวน์โหลดและรัน backdoor ชื่อ “Filemanager”
  • ลบร่องรอยการติดตั้ง

ผลกระทบต่อไทย

ประเทศไทยมีผู้ให้บริการ web hosting จำนวนมากที่ใช้ cPanel/WHM ทั้งรายใหญ่และรายย่อย เว็บไซต์ของธุรกิจ SME, ร้านค้าออนไลน์ และแม้แต่หน่วยงานราชการบางแห่งก็โฮสต์บนเซิร์ฟเวอร์ที่ใช้ cPanel

หากเซิร์ฟเวอร์ hosting ในไทยถูกโจมตี ผลกระทบจะลามไปยังเว็บไซต์ทั้งหมดที่อยู่บนเซิร์ฟเวอร์นั้น อาจรวมถึงหลายสิบหรือหลายร้อยเว็บไซต์ต่อเซิร์ฟเวอร์ รวมถึงข้อมูลลูกค้า ฐานข้อมูล และอีเมลทั้งหมด

คำแนะนำ

  • อัปเดต cPanel/WHM เป็นเวอร์ชันล่าสุดที่แพตช์แล้ว ทันที
  • ตรวจสอบ SSH authorized_keys ว่ามี keys แปลกปลอมหรือไม่
  • สแกนหา PHP webshells ในไดเรกทอรีของเว็บไซต์
  • ตรวจสอบว่ารหัสผ่าน root ถูกเปลี่ยนโดยไม่ได้รับอนุญาตหรือไม่
  • รีเซ็ต credentials ทั้งหมดหากพบสัญญาณการโจมตี

แหล่งอ้างอิง