ثغرة cPanel الحرجة CVE-2026-41940: تجاوز مصادقة يمنح صلاحيات Root لـ 1.5 مليون خادم

كشفت تحقيقات أمنية أن ثغرة حرجة في منصة cPanel & WHM — المُستخدمة لإدارة ملايين الخوادم حول العالم — ظلّت مُستغلّة كثغرة يوم صفر لمدة 64 يوماً قبل أن يصدر أي تصحيح. الثغرة المُصنّفة CVE-2026-41940 بدرجة خطورة 9.8 من 10 تتيح لمهاجم غير مُصادق الحصول على صلاحيات root الكاملة على الخادم، مع تجاوز المصادقة الثنائية في الخطوة ذاتها.

تشريح الثغرة: حقن CRLF يفتح باب الجذر

تكمن المشكلة في خلل من نوع حقن CRLF (Carriage Return Line Feed) في آلية كتابة الجلسات وتحميلها داخل cPanel. عند محاولة تسجيل الدخول، يقوم cPanel بكتابة ملف جلسة جديد على القرص قبل اكتمال عملية المصادقة. يستغل المهاجم هذا السلوك بحقن أحرف CRLF في معالج الجلسات ما قبل المصادقة، مما يسمح بكتابة ملف جلسة يحتوي على user=root و tfa_verified=1. النتيجة: وصول كامل بصلاحيات الجذر إلى الخادم بأكمله، مع تجاوز تام للمصادقة الثنائية (2FA) — كل ذلك عبر طلب HTTP واحد دون أي بيانات اعتماد.

تتسلسل سلسلة الاستغلال عبر ثلاث مراحل: حقن CRLF في كاتب الجلسات، ثم تفعيل تخطي التشفير عبر كوكي مُشوّه، ثم استغلال طريقة التخزين المؤقت للجلسات لترقية الحقن إلى جلسة مُصادقة بصلاحيات كاملة.

64 يوماً من الاستغلال الصامت: الجدول الزمني

وفقاً لشركة الاستضافة KnownHost، بدأ الاستغلال الفعلي منذ 23 فبراير 2026 على الأقل. لم تصدر WebPros International (الشركة المطوّرة لـ cPanel) تحذيراً أمنياً إلا في 28 أبريل 2026، أي بعد 64 يوماً كاملة من بدء الهجمات. خلال هذه الفترة، نجح المهاجمون في اختراق أكثر من 44,000 خادم مُؤكّد، فيما يبقى ما يقارب 1.5 مليون نسخة cPanel مكشوفة على الإنترنت وفقاً لبيانات Shodan.

بعد نشر شركة watchTowr تحليلاً تقنياً مع إثبات مفهوم (PoC)، تسارعت وتيرة الاستغلال بشكل ملحوظ. مجموعة Mr_Rot13 نشرت باباً خلفياً عبر مدير الملفات، بينما انتشرت برمجية الفدية .sorry التي تُشفّر آلاف الخوادم بالتوازي.

استهداف الحكومات والبنى التحتية الحساسة

لم يقتصر الاستغلال على خوادم الاستضافة المشتركة العادية. رصد باحثون حملة متقدمة استهدفت جهات حكومية وعسكرية في جنوب شرق آسيا، شملت مؤسسات مرتبطة بالفلبين ولاوس، إضافة إلى مزودي خدمات مُدارة (MSPs) في كندا وجنوب إفريقيا والولايات المتحدة. نجح المهاجمون في تسريب أكثر من 4 غيغابايت من وثائق حساسة.

تكشف هذه الحملات أن الثغرة لم تكن مجرد أداة للمجرمين الانتهازيين، بل استُخدمت أيضاً من قبل جهات تهديد متقدمة (APTs) في عمليات تجسس سيبراني مُنظّمة.

التأثير على المؤسسات المالية السعودية

تعتمد كثير من المؤسسات المالية السعودية — وخاصة شركات التقنية المالية (Fintech) ومزودي الخدمات الثالثة — على خوادم تستخدم cPanel لإدارة بوابات العملاء وواجهات برمجة التطبيقات والبنية التحتية المساندة. يُشكّل هذا النوع من الثغرات تهديداً مباشراً لعدة متطلبات تنظيمية:

يُلزم إطار SAMA CSCC في ضوابط إدارة التصحيحات (Patch Management) بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد، مع التشديد على مراقبة سلسلة التوريد التقنية. كما تُوجب ضوابط NCA ECC في مجال إدارة الثغرات إجراء مسح دوري للثغرات وتصحيحها وفق أولوية الخطورة. أما نظام حماية البيانات الشخصية (PDPL) فيفرض مسؤولية حماية البيانات حتى عند معالجتها لدى أطراف ثالثة تستخدم cPanel لاستضافة التطبيقات.

يزيد من خطورة الوضع أن كثيراً من مزودي الخدمات المُدارة في المنطقة يستخدمون cPanel لإدارة بيئات عملائهم، مما يجعل اختراق خادم واحد بوابة لعشرات المؤسسات المالية.

التوصيات والخطوات العملية

1. تحديث فوري: ترقية cPanel & WHM إلى الإصدار 11.136.0.5 أو أحدث، و WP Squared إلى 136.1.7 أو أحدث. هذا التصحيح ليس اختيارياً — أضافت CISA الثغرة إلى كتالوج الثغرات المُستغلّة (KEV).
2. فحص مؤشرات الاختراق: تحقق من ملفات الجلسات تحت /var/cpanel/sessions/raw/ بحثاً عن ملفات تحتوي أحرف \r أو \n مُضمّنة في قيمة pass=. ابحث أيضاً عن أي اتصالات بالنطاق wrned[.]com المُستخدم كخادم تحكم (C2).
3. تدقيق سلسلة التوريد: أجرِ جرداً شاملاً لجميع مزودي الخدمات والأطراف الثالثة التي تستخدم cPanel في بيئاتها، واطلب تأكيداً خطياً بتطبيق التصحيحات.
4. تقييد الوصول الشبكي: لا يجب أن تكون لوحة تحكم cPanel (المنفذان 2083 و 2087) مكشوفة على الإنترنت العام. طبّق قوائم تحكم بالوصول (ACLs) وحصر الإدارة عبر VPN أو شبكات موثوقة فقط.
5. مراجعة سجلات الوصول: حلّل سجلات cPanel access_log بحثاً عن محاولات تسجيل دخول مشبوهة خلال الفترة من فبراير إلى أبريل 2026، مع التركيز على جلسات root التي لم تمر عبر آلية المصادقة المعتادة.
6. خطة استجابة للحوادث: إذا اكتشفت أي مؤشرات اختراق، فعّل بروتوكول الاستجابة للحوادث فوراً واعزل الخوادم المتأثرة عن الشبكة قبل بدء التحقيق الجنائي الرقمي.

الخلاصة

تُمثّل ثغرة CVE-2026-41940 نموذجاً صارخاً لمخاطر سلسلة التوريد التقنية: منصة إدارة واحدة مُخترقة تفتح الباب أمام عشرات الآلاف من الخوادم. الفارق بين 64 يوماً من الاستغلال الصامت وبين الكشف المبكر هو نضج برنامج إدارة الثغرات ومراقبة مؤشرات الاختراق — وهما ركيزتان أساسيتان في متطلبات SAMA CSCC و NCA ECC.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل تدقيق سلسلة التوريد وفحص الثغرات في بنيتكم التحتية.