Kritische Lücke in cPanel dient als Einfallstor für Ransomware
Eine schwerwiegende Sicherheitslücke in der Server-Software cPanel wird zum Einfallstor für Erpresser. Kriminelle nutzen die Schwachstelle bereits aus, um Serverdaten zu verschlüsseln und Lösegeld zu fordern. Wer einen Webserver betreibt, sollte umgehend Notfall-Patches installieren.
Eine Sicherheitslücke in den weit verbreiteten Server-Verwaltungslösungen "cPanel" und WHM sorgt für Unruhe in der IT-Sicherheitsbranche. Die als CVE-2026-41940 erfasste Schwachstelle bewerten Fachkreise auf der CVSS-Skala mit 9.8 von 10 möglichen Punkten als äusserst kritisch. "cPanel" und WHM sind Linux-basierte Bedienoberflächen, mit denen User weltweit Millionen von Websites, Datenbanken und Servern verwalten. Wegen der enormen Verbreitung – Fachleute gehen von bis zu 70 Millionen betroffenen Domains aus – und der Schwere der Lücke gilt der Vorfall als Desaster, wie "The Register" berichtet.
Besonders brisant ist, dass die Lücke bereits aktiv ausgenutzt wird. Eine Ransomwaregruppe namens "Sorry" missbraucht die Schwachstelle für ihre Angriffe, wie "Heise" berichtet. Die Shadowserver Foundation zählte bereits über 44'000 erfolgreiche Attacken, davon allein 4000 in Deutschland.
Technisch handelt es sich um einen sogenannten CRLF-Fehler (Carriage Return Line Feed), bei dem die Software von Usern eingegebene Daten nicht korrekt prüft. Angreifende erzeugen sich durch einen gescheiterten Login-Versuch einen Session Cookie. Anschliessend senden sie eine manipulierte Anfrage, die sie mit Root-Rechten ausstattet – den höchsten administrativen Berechtigungen auf einem System.
Der Rat von Sicherheitsexpertinnen und -experten ist unmissverständlich: Wer cPanel, WHM oder die ebenfalls betroffene Wordpress-Hosting-Plattform WP Squared betreibt, muss die bereitgestellten Patches schnellstmöglich installieren. Wer nicht sofort aktualisieren kann, dem rät cPanel in seiner offiziellen Sicherheitswarnung dringend, als Zwischenlösung den Zugriff auf die administrativen Ports (2083, 2087, 2095, 2096) über eine Firewall zu blockieren.
Da Bedrohungsakteure die Server bereits kompromittiert haben könnten, empfehlen Fachleute zudem, spezielle Skripts zur Erkennung eines erfolgten Angriffs auszuführen. cPanel selbst stellt dafür ein eigenes Skript bereit, das aktualisiert wurde, nachdem es anfängliche Probleme mit Falschmeldungen hatte. Für bereits von der "Sorry"-Ransomware betroffene Systeme gibt es derzeit angeblich keine bekannte Möglichkeit, die Daten ohne Lösegeldzahlung zu entschlüsseln.
Die Entwicklerfirma listet in ihrer Sicherheitswarnung folgende (und neuere) Versionen als sicher auf:
- cPanel & WHM 11.86.0.41
- cPanel & WHM 11.110.0.97
- cPanel & WHM 11.118.0.63
- cPanel & WHM 11.124.0.35
- cPanel & WHM 11.126.0.54
- cPanel & WHM 11.130.0.19
- cPanel & WHM 11.132.0.29
- cPanel & WHM 11.134.0.20
- cPanel & WHM 11.136.0.5
- WP Squared 136.1.7
Aktuell nutzen Cyberkriminelle übrigens auch eine Schwachstelle in Microsoft Sharepoint aus - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Swiss Post Cybersecurity lädt zu den Hack'Events 2026
Wo die Prioritäten in der Cybersecurity liegen
Das unbeschwerte Leben von Personen, die keine News lesen
Schlieren - eine aussergewöhnlich attraktive Feriendestination
Schwachstellen bedrohen Digital-Signage-Software Magicinfo
Zahl behördlich angeordneter Antennensuchläufe steigt erneut deutlich
VECT 2.0: Wieso die Opfer leiden, wenn eine Ransomware Probleme hat
Betrüger locken mit gefälschten BAG-Rückerstattungen
Kritische Lücke in cPanel dient als Einfallstor für Ransomware
