Hotdry.

Article

cPanel Black Week 44K 服务器事件:自动化批量修复触发逻辑与攻击时序归因

解析 2026 年 cPanel Black Week 事件中 44,000 台服务器的自动化批量修复工作流、攻击归因时序重建与跨版本协同修复参数。

2026-05-10security

2026 年 4 月 28 日至 5 月 8 日的十天窗口期内,cPanel 社区经历了一场被业内称为 "Black Week" 的安全风暴。WebPros International 在此期间连续发布两次紧急技术支持版本(TSR),修复了导致超过 44,000 台服务器被攻陷的 CVE-2026-41940 及其后续关联漏洞。本文聚焦于这一事件的自动化批量修复触发逻辑、攻击时序归因重建,以及跨版本协同修复的关键参数,为运维团队提供可落地的响应框架。

攻击时序重建:从隐蔽利用到大规模爆发

对此次事件的完整归因需要回溯至补丁发布前的 65 天。根据 KnownHost 遥测数据,针对 cPanel/WHM 的异常认证模式首次被观测到的时间是 2026 年 2 月 23 日,攻击者通过端口 2087(WHM 管理界面)尝试利用 CRLF 注入与会话文件竞态条件的组合漏洞。这一时间点标志着零日利用窗口的开启,比官方补丁发布早了整整两个月。

4 月 28 日,WebPros 发布 CVE-2026-41940 安全公告与紧急补丁,CVSS 评分 9.8。漏洞的技术本质在于 cpsrvd 服务守护进程在处理 HTTP Basic Auth 请求时,未对 Authorization 头中的 CRLF 字符进行过滤,导致攻击者能够将 user=roothasroot=1tfa_verified=1 等会话属性注入服务端会话文件。结合会话数据在原始文本文件与 JSON 缓存之间写入的竞态条件,攻击者可通过操控 whostmgrsession Cookie 引用被污染的会话文件,在无需有效凭据、无需通过双因素认证的情况下,获取完全认证的 root 级 WHM 会话。

补丁发布后的 48 小时内,事态急剧恶化。4 月 29 日,watchTowr Labs 发布完整技术分析,同时名为 "cPanelSniper" 的公开概念验证框架出现,将利用门槛降至近乎为零。Shadowserver Foundation 于 4 月 30 日报告监测到超过 44,000 个唯一 IP 地址正在扫描、探测或主动利用存在漏洞的 cPanel 实例。Censys 的扫描数据进一步显示,截至 5 月初,已有 7,135 台确认运行 cPanel/WHM 的主机磁盘上出现了 .sorry 勒索软件 artifacts。

5 月 1 日,CISA 将 CVE-2026-41940 列入已知被利用漏洞(KEV)目录,为 FCEB(联邦民事行政部门)机构设定了 5 月 3 日的补丁期限 —— 仅有 3 天的响应窗口。5 月 2 日,多行动者利用场景显现,以 Go 语言编写的 .sorry 勒索软件开始通过 CVE-2026-41940 获取的 root 权限进行大规模部署。5 月 7 日,WebPros 预先披露了第二次 TSR,涉及 CVE-2026-29201、29202、29203 三个新增漏洞;5 月 8 日 12:00 EST,第二次紧急补丁正式发布,完成了这 10 天密集修复周期。

自动化批量修复触发逻辑

面对 44,000 台以上服务器的补丁需求,手动逐台修复显然不具可行性。cPanel 的自动化更新机制成为此次响应的核心基础设施。

标准更新触发路径

所有 cPanel & WHM 实例的标准更新通道通过 /scripts/upcp(Update cPanel)脚本实现。该脚本负责检查版本库、下载补丁包、执行文件替换与服务重启。对于已启用自动更新的实例,补丁在 4 月 28 日发布后数小时内即完成推送;但对于生产环境中常见的禁用自动更新配置(为保持稳定性),管理员需手动触发更新流程。

补丁应用后的关键验证步骤包括:

# 验证当前版本是否已升级至修复分支
whmapi1 get_tier

# 重启 cPanel 服务守护进程以加载补丁
/scripts/restartsrv_cpsrvd

# 确认服务版本
whmapi1 version

CloudLinux 6 特定修复参数

对于运行 CloudLinux 6 的环境,需要执行额外的 tier-pin 命令以确保版本对齐:

sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf
/scripts/upcp

这一配置强制 cPanel 更新至 CloudLinux 6 特定的修复分支(cl6110),避免因版本漂移导致的补丁失效。

紧急网络层缓解措施

在补丁大规模部署前,部分托管服务提供商(包括 Namecheap、HostGator、KnownHost)采取了临时网络层缓解措施,通过防火墙规则阻断对 cPanel 管理端口的公网访问:

# 临时阻断 WHM 管理端口(2087)的公网访问
iptables -A INPUT -p tcp --dport 2087 ! -s YOUR.TRUSTED.IP -j DROP

这一措施为补丁部署争取了时间窗口,但明确标注为 "临时缓解",不能替代正式补丁。

跨版本协同修复参数

此次事件涉及多个并发运行的版本分支,协同修复需要精确的版本映射与参数配置。

受影响版本矩阵

版本分支 状态 修复版本
11.132.x 受影响 4 月 28 日 TSR
11.134.x 受影响 4 月 28 日 TSR
11.136.x 受影响 4 月 28 日 TSR

双 TSR 修复周期参数

两次紧急 TSR 的 10 天间隔(4 月 28 日至 5 月 8 日)反映了安全事件响应的典型模式:首次补丁触发对相邻代码路径的加速审计,审计发现此前未发现或低优先级处理的新问题,导致第二次紧急发布。对于运维团队,这意味着压缩的、背靠背的更新周期,几乎没有时间进行分阶段测试。

第二次 TSR(5 月 8 日)覆盖的三个 CVE(29201、29202、29203)涉及文件读取、代码执行与权限提升路径,属于在首次危机后深度审计中发现的关联漏洞。运维团队需要在首次补丁验证完成后立即准备第二次更新,执行相同的 /scripts/upcp 流程。

CISA 3 天补丁窗口

对于受 CISA KEV 目录约束的组织,5 月 1 日的列入与 5 月 3 日的 FCEB 机构补丁期限构成了极短的合规窗口。这一外部时间压力与内部技术修复节奏叠加,要求自动化更新机制具备高可靠性与快速回滚能力。

事后审计与取证参数

补丁修复不能消除已发生的入侵。对于在 2 月 23 日至 4 月 28 日期间暴露于公网的 cPanel 实例,必须进行事后审计以确认是否已被利用。

会话文件审计

检查 /var/cpanel/sessions/raw 目录中是否存在包含注入属性(如 hasroot=1tfa_verified=1)的会话文件:

grep -r "hasroot=1\|tfa_verified=1" /var/cpanel/sessions/raw/

访问日志回溯

审查从 2 月 23 日开始的访问日志,查找来自异常 IP 地址的认证事件:

# WHM 访问日志
cat /usr/local/cpanel/logs/access_log | awk -F' ' '$4 > "[23/Feb/2026"'

# 登录日志
cat /usr/local/cpanel/logs/login_log | grep -E "(2087|2083)"

勒索软件 artifacts 扫描

扫描用户主目录与 Web 根目录中的 .sorry 后缀文件:

find /home -name "*.sorry" -type f 2>/dev/null
find /var/www -name "*.sorry" -type f 2>/dev/null

发现此类文件表明服务器已被部署 .sorry 勒索软件,需要启动完整的事件响应流程,而非仅应用补丁。

可落地的响应检查清单

基于上述分析,运维团队可按以下优先级执行响应:

  1. 验证补丁状态:执行 whmapi1 get_tier 确认运行已修复分支(4 月 28 日后版本)
  2. 检查自动更新配置:审查 /etc/cpupdate.conf,确保 CPANEL 设置为支持的 tier 且自动更新已启用
  3. 应用 5 月 8 日补丁:执行 /scripts/upcp 获取第二次 TSR
  4. CloudLinux 6 环境:执行 tier-pin 命令后更新
  5. 重启 cpsrvd/scripts/restartsrv_cpsrvd
  6. 回溯审计访问日志:从 2 月 23 日起检查异常会话认证模式
  7. 扫描勒索软件 artifacts:递归扫描 .sorry 后缀文件
  8. 网络层隔离:将 WHM 端口 2087 限制为仅 VPN 或 IP 白名单访问
  9. 凭证轮换:假设所有凭证已泄露,轮换 root 密码、cPanel 账户密码、数据库凭证、SSH 密钥、SSL/TLS 证书

结论

cPanel Black Week 事件展示了现代基础设施漏洞的级联效应:一个 CRLF 注入与会话竞态条件的组合漏洞,在 65 天的零日窗口后,通过自动化利用工具在 48 小时内导致 44,000 台以上服务器沦陷。两次 TSR 的 10 天密集修复周期,以及 CISA 3 天合规窗口,对自动化批量修复机制提出了极高要求。

对于运维团队,关键教训在于:补丁修复只是响应的起点,而非终点。在 2 月 23 日至 4 月 28 日期间暴露的服务器必须视为潜在已沦陷,执行完整的事后审计与取证分析。同时,将管理端口限制为仅受信任网络访问,是降低此类认证层漏洞攻击面的根本措施。

参考来源

  • Shadowserver Foundation 威胁遥测数据(2026 年 4 月 30 日)
  • Censys 扫描数据:cPanel/WHM 主机勒索软件 artifacts 识别
  • Panelica:cPanel's 30-Day Security Storm 时间线重建

security

内容声明:本文无广告投放、无付费植入。

如有事实性问题,欢迎发送勘误至 i@hotdrydog.com