ثغرة cPanel CVE-2026-41940: تجاوز المصادقة يمنح صلاحيات root على 1.5 مليون خادم مكشوف

ثغرة واحدة في لوحة تحكم الاستضافة الأكثر انتشاراً في العالم تحوّلت إلى كارثة أمنية: CVE-2026-41940 في cPanel & WHM تحمل تقييم CVSS 9.8 وتسمح لمهاجم غير مصادق بالحصول على صلاحيات root الكاملة عبر حقن سطرين في ترويسة HTTP. الثغرة استُغلت كـ zero-day منذ 23 فبراير 2026، وبحلول مايو تجاوز عدد الخوادم المخترقة 44,000 خادم مع نشر برمجية فدية جديدة تحمل اسم .sorry.

التفاصيل التقنية: حقن CRLF يمنح صلاحيات root

تكمن الثغرة في آلية معالجة cPanel لبيانات اعتماد HTTP Basic Auth أثناء تسجيل الدخول. عند استقبال طلب مصادقة، يكتب النظام بيانات الجلسة في ملف على القرص دون تنقية أحرف CRLF (أحرف السطر الجديد \r\n) من ترويسة Authorization. هذا الخلل البسيط يتيح للمهاجم صياغة طلب HTTP يحقن حقولاً إضافية في ملف الجلسة، أبرزها user=root، مما يمنحه جلسة WHM بصلاحيات المدير الأعلى دون الحاجة لأي كلمة مرور.

الاستغلال لا يتطلب أي تفاعل من المستخدم ولا يحتاج صلاحيات مسبقة. يكفي أن يكون منفذ WHM (عادةً 2087) متاحاً عبر الإنترنت حتى يتمكن المهاجم من تنفيذ الهجوم آلياً. كما يمكن التلاعب بكوكيز whostmgrsession بحذف جزء من قيمتها لتجاوز عملية التشفير بالكامل، مما يفتح مساراً ثانياً للاستغلال.

حملة استغلال واسعة النطاق: من zero-day إلى فدية

رصد باحثون في XLab حملة هجومية منظمة تستهدف الثغرة منذ فبراير 2026، قبل شهرين كاملين من الإفصاح العلني في 28 أبريل. بمجرد اختراق الخادم، ينفّذ المهاجمون سلسلة عمليات محكمة: تغيير كلمة مرور root، زرع مفتاح SSH خفي لضمان العودة، ثم نشر web shell بلغة PHP داخل نظام cPanel يتيح تصفح الملفات وتنفيذ الأوامر عن بُعد.

خلال 48 ساعة من الإفصاح العلني، رصدت منصة Shadowserver أكثر من 44,000 عنوان IP مخترق. وكشفت Censys عن 7,135 خادم cPanel تحمل آثار برمجية الفدية .sorry على أقراصها. أكثر من 2,000 عنوان IP تابع للمهاجمين يشنّ هجمات آلية مستمرة من ألمانيا والولايات المتحدة والبرازيل وهولندا. ومع وجود 1.5 مليون نسخة cPanel مكشوفة على الإنترنت وفق بيانات Shodan، فإن سطح الهجوم هائل.

نطاق التأثير: 70 مليون نطاق في خطر

cPanel يدير أكثر من 70 مليون نطاق حول العالم، مما يجعل هذه الثغرة من أوسع الثغرات تأثيراً في 2026. المهاجم الذي يحصل على صلاحيات root عبر WHM يستطيع: قراءة جميع حسابات الاستضافة على الخادم، تعديل الملفات وقواعد البيانات، إنشاء حسابات خلفية، تثبيت برمجيات خبيثة، سرقة بيانات الاعتماد، والتمحور نحو الشبكات الداخلية للعملاء. الثغرة تؤثر على جميع إصدارات cPanel & WHM بعد v11.40 وحتى الإصدار v136.1.7 من WP Squared.

أضافت وكالة CISA الأمريكية الثغرة إلى كتالوج الثغرات المستغلة فعلياً (KEV)، وألزمت الوكالات الفيدرالية بتطبيق التصحيح قبل 3 مايو 2026. أصدرت cPanel تحديثاً أمنياً طارئاً (TSR) يجب تطبيقه فوراً.

التأثير على المؤسسات المالية السعودية

تعتمد كثير من المؤسسات السعودية — بما فيها شركات التقنية المالية والبنوك الرقمية ومزودو الخدمات المالية — على بنية استضافة تستخدم cPanel لإدارة بوابات العملاء والمواقع الإلكترونية وبيئات التطوير. اختراق خادم cPanel واحد قد يكشف بيانات آلاف العملاء ويعرّض المؤسسة لمخالفات متعددة.

إطار عمل SAMA CSCC يشدد في نطاق إدارة الثغرات (Vulnerability Management) على ضرورة تطبيق التصحيحات الحرجة خلال إطار زمني لا يتجاوز 72 ساعة، وإجراء مسح دوري للأصول المكشوفة. كذلك يُلزم إطار NCA ECC المؤسسات بتقييم مخاطر الموردين الخارجيين — وشركات الاستضافة التي تستخدم cPanel غير المحدّث تمثل خطراً مباشراً على سلسلة التوريد. أما نظام PDPL فيحمّل المؤسسة المسؤولية الكاملة عن حماية البيانات الشخصية حتى لو كانت مستضافة لدى طرف ثالث.

التوصيات والخطوات العملية

1. التحديث الفوري: طبّق آخر تحديث أمني من cPanel (TSR-2026-0003 وما بعده). إذا كنت تستخدم مزود استضافة خارجي، تواصل معه للتأكد من تطبيق التصحيح على جميع الخوادم التي تستضيف بياناتك.
2. مسح مؤشرات الاختراق (IoC): ابحث عن ملفات PHP غير معروفة داخل مجلدات cPanel النظامية، وتحقق من وجود مفاتيح SSH غير مألوفة في /root/.ssh/authorized_keys، وراجع سجلات الوصول لمنفذ 2087 بحثاً عن طلبات تحتوي ترويسات Authorization مشبوهة.
3. تقييد الوصول الشبكي: قيّد الوصول لمنافذ WHM (2086/2087) على عناوين IP الإدارية فقط باستخدام جدار الحماية. لا يجب أن تكون واجهة WHM متاحة للإنترنت العام تحت أي ظرف.
4. تفعيل المصادقة الثنائية: فعّل 2FA على جميع حسابات WHM وcPanel كطبقة حماية إضافية، رغم أن الثغرة تتجاوز المصادقة الأساسية.
5. مراجعة مخاطر الموردين: إذا كانت مؤسستك تستخدم استضافة مُدارة، اطلب من المزود تقريراً مكتوباً يؤكد تطبيق التصحيح ونتائج مسح IoC. وثّق ذلك ضمن سجل إدارة مخاطر الأطراف الثالثة وفق متطلبات SAMA CSCC.
6. مراقبة التشفير والفدية: راقب أي نشاط تشفير غير طبيعي على الخوادم، وابحث تحديداً عن ملفات بامتداد .sorry التي تشير لبرمجية الفدية المرتبطة بهذه الحملة.

الخلاصة

ثغرة CVE-2026-41940 تذكّرنا بأن أدوات إدارة البنية التحتية — التي نثق بها يومياً — قد تتحول إلى أخطر نقاط الدخول. حقن سطرين في ترويسة HTTP كان كافياً للسيطرة الكاملة على عشرات الآلاف من الخوادم. المؤسسات التي لم تتحقق بعد من حالة خوادم cPanel لديها أو لدى مزودي خدماتها تواجه خطراً حقيقياً ومباشراً.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC ومراجعة شاملة لمخاطر الموردين الخارجيين.