cPanel Zero-Day CVE-2026-41940: ช่องโหว่ร้ายแรงระดับ 9.8 ที่แฮกเกอร์ใช้มาแล้ว 2 เดือน

ถ้าคุณใช้ cPanel หรือ WHM บริหารเว็บโฮสติ้ง ให้หยุดอ่านบทความนี้ก่อน แล้วไปอัปเดตเซิร์ฟเวอร์ทันที ช่องโหว่ CVE-2026-41940 ที่เพิ่งถูกเปิดเผยสาธารณะเมื่อปลายเดือนเมษายน 2026 นี้มีความรุนแรงระดับ CVSS 9.8 จาก 10 และที่น่ากลัวกว่านั้น — แฮกเกอร์รู้จักมันและใช้มันโจมตีจริงมาแล้วนานกว่า 2 เดือนก่อนที่ cPanel จะออก patch

ช่องโหว่นี้คืออะไร และร้ายแรงแค่ไหน?

CVE-2026-41940 เป็นช่องโหว่ประเภท Authentication Bypass (การข้ามกระบวนการยืนยันตัวตน) ใน cPanel และ WHM (Web Host Manager) ซึ่งเป็นซอฟต์แวร์ควบคุมการจัดการเว็บโฮสติ้งที่ได้รับความนิยมสูงที่สุดในโลก ครองส่วนแบ่งตลาดกว่า 94% ของตลาด control panel

สิ่งที่ทำให้ช่องโหว่นี้ร้ายแรงเป็นพิเศษคือ ผู้โจมตีสามารถเข้าถึงสิทธิ์ระดับ root ของเซิร์ฟเวอร์ได้ทันที ซึ่งหมายความว่าสามารถควบคุมทุกไซต์ที่อยู่บนเซิร์ฟเวอร์นั้น เข้าถึงฐานข้อมูลทั้งหมด ระบบอีเมล รวมถึงไฟล์ทุกไฟล์ของผู้ใช้ทุกคน

ช่องโหว่ทำงานอย่างไร? (Technical Deep Dive)

สาเหตุรากของปัญหาอยู่ที่การจัดการ CRLF Injection (Carriage Return Line Feed) ในกระบวนการ login ของ cPanel

เมื่อผู้ใช้เริ่มกระบวนการ login cpsrvd (cPanel service daemon) จะสร้างไฟล์ session ขึ้นมาก่อนที่การยืนยันตัวตนจะเสร็จสมบูรณ์ ช่องโหว่อยู่ตรงที่ระบบไม่ได้กรอง CRLF characters ออกจาก Authorization header ก่อนที่จะเขียนลงในไฟล์ดังกล่าว

ผู้โจมตีสามารถแทรกบรรทัดพิเศษลงไปในไฟล์ session เช่น user=root, hasroot=1, tfa_verified=1 และ successful_internal_auth_with_timestamp ซึ่งทำให้ระบบตรวจสอบสิทธิ์ถือว่า session นั้นผ่านการยืนยันตัวตนแล้วโดยสมบูรณ์ โดยไม่เคยตรวจสอบรหัสผ่านจริงๆ เลยแม้แต่ครั้งเดียว

Timeline: แฮกเกอร์รู้ก่อน cPanel

สิ่งที่น่ากังวลที่สุดในเหตุการณ์นี้ไม่ใช่ตัวช่องโหว่ แต่คือ timeline ของมัน

จากข้อมูลที่ KnownHost (ผู้ให้บริการโฮสติ้ง) เปิดเผย มีหลักฐานว่าการโจมตีจริงเกิดขึ้นตั้งแต่วันที่ 23 กุมภาพันธ์ 2026 ซึ่งนานกว่า 2 เดือนก่อนที่ cPanel จะออก patch ในวันที่ 28 เมษายน 2026

นอกจากนี้ยังมีรายงานว่าผู้ค้นพบช่องโหว่ได้แจ้งต่อ cPanel ก่อนประมาณ 2 สัปดาห์ แต่การตอบสนองเบื้องต้นของ cPanel คือบอกว่า "ไม่มีอะไรผิดปกติ" ก่อนที่จะออกแพตช์ฉุกเฉินในภายหลัง

ด้วยเหตุนี้ CISA (หน่วยงาน Cybersecurity ของสหรัฐฯ) จึงเพิ่ม CVE นี้เข้า Known Exploited Vulnerabilities (KEV) catalog ทันทีในวันที่ 30 เมษายน พร้อมกำหนด deadline ให้หน่วยงานรัฐบาลกลางอัปเดตภายในวันที่ 3 พฤษภาคม 2026

ขอบเขตของความเสียหาย

การสแกนโดย Rapid7 ผ่าน Shodan พบว่ามีเซิร์ฟเวอร์ cPanel ที่เปิดเผยสู่อินเทอร์เน็ตประมาณ 1.5 ล้านเครื่อง ที่อาจมีความเสี่ยง โดย cPanel ดูแลเว็บไซต์รวมกันมากกว่า 70 ล้านโดเมน ทั่วโลก

Shadowserver Foundation รายงานว่าพบ IP ที่กำลังสแกนหาเป้าหมายหรือพยายามโจมตีช่องโหว่นี้กว่า 44,000 IP ต่อวัน

ผู้ให้บริการโฮสติ้งรายใหญ่หลายรายรวมถึง Namecheap, KnownHost, HostPapa และ InMotion ต้องทำการบล็อก port WHM/cPanel ชั่วคราวเพื่อป้องกันลูกค้าก่อนที่ patch จะพร้อม

วิธีตรวจสอบและแก้ไข

1. อัปเดตทันที

อัปเดต cPanel ผ่าน command line ด้วย:

/scripts/upcp --force

version ที่ได้รับการแก้ไขแล้ว:

• cPanel & WHM: 11.136.0.5 ขึ้นไป
• WP Squared: 136.1.7 ขึ้นไป

2. บล็อก Port ฉุกเฉิน (ถ้ายังไม่ได้แพตช์)

# ปิด port cPanel และ WHM ไม่ให้เข้าถึงจากภายนอก
iptables -A INPUT -p tcp --dport 2082 -j DROP
iptables -A INPUT -p tcp --dport 2083 -j DROP
iptables -A INPUT -p tcp --dport 2086 -j DROP
iptables -A INPUT -p tcp --dport 2087 -j DROP

3. ตรวจสอบว่าโดนโจมตีแล้วหรือยัง

cPanel ออก IOC detection script อย่างเป็นทางการ ให้รันด้วย:

/bin/bash ./ioc_checksessions_files.sh

จากนั้นตรวจสอบ access log เพื่อหาการเข้าสู่ระบบที่ผิดปกติก่อนวันที่ 28 เมษายน 2026 และตรวจสอบ account list ใน WHM ว่ามี account ที่ไม่ได้สร้างเองหรือไม่

สรุป: อย่ารอ

CVE-2026-41940 เป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในวงการ web hosting ในรอบหลายปี เพราะกระทบระบบที่ใช้กันอย่างกว้างขวาง, exploit ง่าย, และโดนใช้โจมตีจริงก่อนที่ patch จะพร้อม ถ้าคุณบริหารเซิร์ฟเวอร์ที่ใช้ cPanel ไม่ว่าจะเป็นของตัวเองหรือลูกค้า ให้ถือว่าการอัปเดตครั้งนี้เป็น Priority 1 ที่ต้องทำทันที

ที่มาบทความ

บทความนี้แปลและเรียบเรียงจากรายงานความปลอดภัยของ Rapid7, watchTowr Labs, CyberScoop และ Help Net Security เผยแพร่ระหว่างวันที่ 29 เมษายน – 1 พฤษภาคม 2026

🔗 อ่าน Technical Analysis จาก watchTowr Labs 🔗 Advisory อย่างเป็นทางการจาก Rapid7