cPanel Black Week:3 个新漏洞曝光 44,000 台服务器遭勒索攻击 — 紧急修复指南 2026
Published: 2026-05-11 Reading: 8 min Tech
📑 目录
- 攻击时间线:cPanel 的黑色十天
- 三个新漏洞一览(CVE-2026-29201/2/3)
- CVE-2026-29201 — 任意文件读取(CVSS 4.3)
- CVE-2026-29202 — 任意 Perl 代码执行(CVSS 8.8)
- CVE-2026-29203 — 符号链接提权(CVSS 8.8)
- 攻击链分析:三个漏洞如何联动
- 紧急修复步骤
- 入侵排查指南
- 防御建议
攻击时间线:cPanel 的黑色十天
2026 年 5 月初的 cPanel 安全事件,堪称主机托管行业近年来最严重的供应链安全危机之一。整个事件的时间线如下:
- 2026 年 2 月下旬 — CVE-2026-41940 认证绕过漏洞开始被零日利用,攻击者悄悄扫描互联网上的 cPanel 服务器
- 2026 年 4 月 28 日 — cPanel 发布首个紧急安全补丁(TSR)修复 CVE-2026-41940(CVSS 9.8)
- 2026 年 4 月下旬 - 5 月初 — 漏洞详情公开后,大规模利用开始,至少 44,000 个 IP 地址上的 cPanel 服务器被攻陷。攻击者部署基于 Go 语言的 Linux 勒索软件 "Sorry"
- 2026 年 5 月 7 日 — WebPros 向注册客户发送第二轮 TSR 预披露通知
- 2026 年 5 月 8 日 12:00 EST — cPanel 发布第二个紧急安全补丁,修复 CVE-2026-29201、CVE-2026-29202 和 CVE-2026-29203
十天之内连续两个紧急安全补丁,这在 cPanel 的历史上极为罕见。安全社区普遍认为,第一轮攻击引发的紧急代码审计暴露了更多深层问题——而且可能还有更多漏洞在审计中发现但尚未披露。
三个新漏洞一览
| CVE 编号 | 漏洞类型 | CVSS 评分 | 攻击前提 | 影响 |
|---|---|---|---|---|
| CVE-2026-29201 | 任意文件读取 | 4.3(中危) | 需要认证 | 读取服务器上的任意文件 |
| CVE-2026-29202 | 任意 Perl 代码执行 | 8.8(高危) | 需要认证 | 以系统用户身份执行任意 Perl 代码 |
| CVE-2026-29203 | 不安全符号链接提权 | 8.8(高危) | 需要认证 | 修改任意文件权限 → 提权或 DoS |
CVE-2026-29201 — 任意文件读取(CVSS 4.3)
漏洞位置:feature::LOADFEATUREFILE adminbin 调用
原理:cPanel 的 feature 加载机制对 feature 文件名参数缺乏充分的输入验证。攻击者可以通过构造特制的文件路径参数,绕过路径限制读取服务器上的任意文件。
实际影响:虽然 CVSS 评分只有 4.3(中危),但这个漏洞的价值在于信息收集。攻击者可以通过它读取:
- cPanel 配置文件(包含数据库凭证、API 密钥)
- 系统敏感文件(
/etc/shadow、SSH 配置等) - 其他租户的网站文件和数据库配置
这些信息可以用来串联更严重的攻击。在 CVE-2026-29202 和 CVE-2026-29203 的配合下,信息收集阶段的效率大幅提升。
CVE-2026-29202 — 任意 Perl 代码执行(CVSS 8.8)
漏洞位置:create_user API 调用的 plugin 参数
原理:cPanel 的 create_user API 在处理 plugin 参数时未正确过滤用户输入。cPanel 后端大量使用 Perl,攻击者可以向 plugin 参数注入任意 Perl 代码,这些代码会在 cPanel 系统用户上下文中执行。
这是三个漏洞中最危险的一个。在共享主机环境中:
- 任何租户只要拥有一个 cPanel 账号,就可以触发此漏洞
- Perl 代码在系统用户上下文中运行,拥有比普通 Web 用户更高的权限
- 攻击者可以横向移动到同一服务器上的其他租户目录
- 可以创建后门用户、修改文件、安装持久化恶意软件
CVE-2026-29203 — 符号链接提权(CVSS 8.8)
漏洞位置:cPanel 文件管理中的 symlink 处理逻辑
原理:cPanel 在处理符号链接(symlink)时存在不安全的路径解析。攻击者可以创建指向系统敏感文件的符号链接,然后通过 cPanel 的 chmod 操作修改目标文件的权限。这可以导致:
- 提权:将系统关键文件改为可写,然后修改其内容
- 拒绝服务:将关键可执行文件权限改为 000,使系统服务无法运行
- 持久化:修改系统启动脚本植入后门
攻击链分析:三个漏洞如何联动
这三个漏洞单独看都有限制,但组合起来就构成了一条完整的攻击链:
- 信息收集阶段 — 利用 CVE-2026-29201 读取服务器配置文件和数据库凭证,确定目标环境和提权路径
- 代码执行阶段 — 利用 CVE-2026-29202 注入 Perl 代码,在服务器上创建后门用户或反弹 shell
- 提权阶段 — 利用 CVE-2026-29203 修改系统文件权限,获取更高级别的访问权限
- 横向移动 — 利用新获得权限访问其他租户的数据,扩大攻击范围
紧急修复步骤
如果你的服务器还在运行旧版 cPanel,请立即执行以下命令:
/scripts/upcp
# 如果自动更新已关闭
/scripts/upcp --force
# CloudLinux 6 用户请先修改版本配置
sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf
/scripts/upcp
# 更新后重启 cpsrvd 服务
/scripts/restartsrv_cpsrvd
# 验证补丁版本
/usr/local/cpanel/cpanel -V
更新完成后,确认版本号与 cPanel 官方安全公告中列出的已修补版本一致。补丁将于 2026 年 5 月 8 日 EST 12:00 后通过标准 TSR 机制推送。
入侵排查指南
如果你的服务器在 2026 年 2 月下旬至 4 月 28 日之间运行过未修补的 cPanel 版本,应该假定已经被入侵并立即进行取证检查:
访问日志审计
检查从 2026 年 2 月 23 日 开始的 cPanel 和 WHM 访问日志,查找异常模式:
- 大量 401/403 错误后突然成功认证的日志序列
- 来自未知 IP 的管理员级别访问
- 异常时间段的 API 调用频率激增
文件系统检查
- 检查 /tmp、/var/tmp、/dev/shm 中的可疑文件
- 查找未知的 cron 任务(
crontab -l和cat /etc/crontab) - 检查 /root/.ssh/authorized_keys 中的未知公钥
- 查找
/usr/local/cpanel目录下最近修改的可疑文件
进程和网络检查
- 运行
netstat -tlnp或ss -tlnp检查异常监听端口 - 使用
lsof -i查看所有网络连接和对应进程 - 检查是否有 Go 语言编写的二进制进程(Sorry 勒索软件基于 Go 编写)
# 1. 查找近期修改的 suid 文件
find / -perm -4000 -type f -mtime -30 2>/dev/null
# 2. 检查异常系统用户
awk -F: '$3 == 0 || $3 == 1 {print $1}' /etc/passwd
# 3. 查找未知内核模块
lsmod | grep -v -f /dev/stdin <<< "tun\|loop\|bridge\|nfs\|ext4\|overlay"
防御建议
这次 cPanel Black Week 事件给所有主机管理员敲响了警钟。以下是一些立即可行的防御措施:
1. 开启自动更新
确保 cPanel 的自动更新机制处于启用状态。在 WHM 中导航至 Home → Server Configuration → Update Preferences 检查更新策略。
2. 限制 API 访问
尽可能将 cPanel/WHM 管理端口限制在内部网络或 VPN 内访问。使用 IP 白名单限制 API 端点的来源 IP。
3. 启用双因素认证
为所有 WHM 和 cPanel 账号启用 2FA,特别是管理员账号。cPanel 原生支持 Google Authenticator 和 TOTP。
4. 定期安全审计
使用 cpanel-security-checker 等工具定期扫描服务器安全配置。保持对 cPanel 安全公告(cPanel Security Forums)的关注。
5. 备份和恢复预案
勒索软件攻击下,恢复能力比防御更关键。确保有离线的、不可变的备份。定期测试完整的恢复流程。
/scripts/upcp。