cPanel va WHM serverlariga qarshi ommaviy kiberhujum: CVE-2026-41940 zaifligi butun dunyo bo‘ylab faol ekspluatatsiya qilinmoqda

So‘nggi kunlarda kiberxavfsizlik hamjamiyatida eng xavfli tahdidlardan biri sifatida e’tirof etilayotgan CVE-2026-41940 zaifligi keng muhokamalarga sabab bo‘lmoqda. Mazkur zaiflik mashhur hosting boshqaruv tizimlari — cPanel hamda WebHost Manager serverlarida aniqlangan bo‘lib, mutaxassislar ushbu nuqsonni eng xavfli autentifikatsiyani chetlab o‘tish zaifliklaridan biri sifatida baholamoqda.

Ushbu xavfsizlik nuqsoni CVSS shkalasi bo‘yicha maksimal — 9.8 ball bilan baholangan. Eng xavotirli jihati shundaki, hujumchilar serverga kirish uchun foydalanuvchi nomi yoki parolga ehtiyoj sezmaydi. Ya’ni, oddiy internet ulanishining o‘zi orqali himoya devorlarini aylanib o‘tib, administrator huquqlarini qo‘lga kiritish imkoniyati yuzaga keladi.

Tahdidning ko‘lami tobora kengaymoqda

Kiberxavfsizlik kompaniyalari va tahdid razvedkasi platformalari ma’lumotlariga ko‘ra, zaiflik ommaga oshkor etilganidan so‘ng unga qarshi avtomatlashtirilgan hujumlar keskin ko‘paygan. Dunyo bo‘ylab minglab IP-manzillar ushbu ekspluatatsiyani faol ravishda sinab ko‘rmoqda.

Mutaxassislarning qayd etishicha, hujumlarning asosiy qismi:

  • AQSH,
  • Germaniya,
  • Braziliya,
  • Niderlandiya

hududlaridan amalga oshirilmoqda.

Tahlillarga ko‘ra, ko‘plab hujumchilar ushbu zaiflikdan foydalanib:

  • ransomware dasturlarini joylashtirish,
  • kriptovalyuta maynerlarini o‘rnatish,
  • yashirin “backdoor” kanallarini yaratish,
  • maxfiy ma’lumotlarni o‘g‘irlash,
  • serverlarni botnet tarmoqlariga ulash

kabi zararli faoliyatlarni amalga oshirmoqda.

“Mr_Rot13” — professional kiberjinoyatchilar guruhi

Xavfsizlik tadqiqotchilari davom etayotgan murakkab hujum kampaniyasini shartli ravishda “Mr_Rot13” deb nomlangan yashirin xakerlik guruhi bilan bog‘lamoqda. Ushbu guruh kamida 2020-yildan buyon faoliyat yuritayotgani taxmin qilinmoqda.

Guruhning asosiy xususiyatlaridan biri — zararli infratuzilmani yashirish uchun Rot13 algoritmidan foydalanishidir. Ayniqsa, JavaScript kodlariga yashirilgan boshqaruv (C2) manzillari ularning professional yondashuvini ko‘rsatadi.

Mutaxassislar fikricha, bu oddiy “script kiddie” darajasidagi guruh emas. Ular:

  • doimiy ravishda yangilanadigan zararli dasturlardan foydalanadi,
  • antivirus tizimlarini aldash usullarini takomillashtiradi,
  • Telegram bot tokenlarini muntazam almashtirib turadi,
  • tahlilchilar faoliyatiga mos ravishda infratuzilmasini o‘zgartiradi.

Bu esa hujumchilar yuqori texnik salohiyatga ega ekanligini anglatadi.

Hujum qanday amalga oshirilmoqda?

Tahlillarga ko‘ra, hujum bir necha bosqichda amalga oshiriladi.

Avval hujumchilar CVE-2026-41940 zaifligidan foydalanib, autentifikatsiyani chetlab o‘tadi va serverda administrator huquqlarini qo‘lga kiritadi. Shundan so‘ng ular “Payload” nomli Go dasturlash tilida yozilgan maxsus injector vositasini ishga tushiradi.

Qizig‘i shundaki, tadqiqotchilar ushbu zararli kodning ayrim qismlari sun’iy intellekt yordamida generatsiya qilingan bo‘lishi mumkinligini taxmin qilmoqda. Kod tuzilishi va log yozuvlari bunga ishora qilmoqda.

Zararli dastur ishga tushirilgach:

  • serverning root paroli o‘zgartiriladi;
  • SSH public key joylashtiriladi;
  • doimiy yashirin kirish kanali yaratiladi.

Keyinchalik tizimga “Cpanel-Python” nomli PHP webshell joylashtiriladi. Ushbu komponent login sahifalariga zararli JavaScript kodlarini qo‘shadi.

Natijada foydalanuvchilarning:

  • login va parollari,
  • User-Agent ma’lumotlari,
  • tashrif buyurilgan URL manzillari

yashirin tarzda masofaviy boshqaruv serverlariga yuboriladi.

“Filemanager” trojani: to‘liq masofaviy boshqaruv vositasi

Hujumning yakuniy bosqichida “Filemanager” nomli kuchli trojan o‘rnatiladi. Ushbu zararli dastur:

  • Linux,
  • Windows,
  • macOS (Darwin)

operatsion tizimlarini qo‘llab-quvvatlaydi.

Mazkur trojan orqali hujumchilar:

  • fayllarni boshqarishi,
  • buyruqlarni masofadan bajarishi,
  • ma’lumotlar bazasini ko‘chirib olishi,
  • konfiguratsiya fayllarini o‘g‘irlashi,
  • serverni to‘liq nazorat qilishi

mumkin bo‘ladi.

O‘g‘irlangan ma’lumotlar bir vaqtning o‘zida bir nechta kanal orqali, jumladan maxsus Telegram botlari orqali yuborilishi aniqlangan.

Aniqlangan IOC (Indicator of Compromise) ma’lumotlari

Shubhali domenlar

  • cp.dene.de[.]com
  • wrned[.]com
  • wpsock[.]com

MD5 xesh qiymatlari

  • fb1bc3f935fdeb3555465070ba2db33c
  • 9305b4ebbb4d39907cf36b62989a6af3
  • 2286f126ab4740ccf2595ad1fa0c615c

Mutaxassislar ushbu domenlar ataylab “defang” ko‘rinishida yozilganini ta’kidlamoqda. Bu ularning tasodifan ochilib ketishining oldini olish uchun amalga oshiriladi.

Tashkilotlar uchun xavf darajasi juda yuqori

Ekspertlar fikricha, ushbu zaiflik ayniqsa:

  • hosting provayderlari,
  • davlat tashkilotlari,
  • ta’lim muassasalari,
  • moliyaviy tizimlar,
  • yirik korporativ infratuzilmalar

uchun katta xavf tug‘diradi.

Sababi, cPanel va WHM serverlari ko‘pincha:

  • veb-saytlar,
  • elektron pochta xizmatlari,
  • DNS xizmatlari,
  • ma’lumotlar bazalari,
  • hosting boshqaruvi

uchun markaziy platforma sifatida ishlatiladi.

Bitta serverning buzilishi yuzlab yoki minglab saytlarning komprometatsiya qilinishiga olib kelishi mumkin.

Himoyalanish uchun tavsiyalar

Kiberxavfsizlik mutaxassislari quyidagi choralarni zudlik bilan amalga oshirishni tavsiya qilmoqda:

1. cPanel va WHM tizimlarini yangilash

Rasmiy xavfsizlik patchlari chiqarilishi bilan serverlarni darhol yangilash zarur.

2. Root kirishlarini cheklash

SSH orqali root login funksiyasini o‘chirib qo‘yish tavsiya etiladi.

3. Ikki faktorli autentifikatsiyani yoqish

Administrator panellari uchun MFA/2FA funksiyalarini faollashtirish xavfni kamaytiradi.

4. Loglarni doimiy monitoring qilish

Quyidagilar alohida nazorat qilinishi kerak:

  • noma’lum IP manzillar,
  • shubhali AJAX so‘rovlari,
  • login sahifalaridagi JavaScript o‘zgarishlari,
  • yangi SSH kalitlar,
  • root parol o‘zgarishlari.

5. IOC ma’lumotlari asosida tekshiruv o‘tkazish

Tizimlarda yuqoridagi domenlar va MD5 xeshlari mavjudligi zudlik bilan tekshirilishi lozim.

6. WAF va EDR tizimlarini joriy etish

Zamonaviy:

  • WAF (Web Application Firewall),
  • EDR/XDR,
  • SIEM monitoring

yechimlari hujumlarni erta aniqlashga yordam beradi.

CVE-2026-41940 zaifligi bugungi kunda internet infratuzilmasi uchun eng xavfli tahdidlardan biriga aylanmoqda. Oddiy autentifikatsiya chetlab o‘tish zaifligi sifatida boshlangan muammo endilikda global miqyosdagi kiberhujum kampaniyalariga sabab bo‘lmoqda.

Eng xavotirli jihati esa — hujumchilarning sun’iy intellekt yordamida ishlab chiqilgan zararli vositalardan foydalanayotgani va professional darajadagi yashirin infratuzilmalarni qo‘llayotganidir.

Shu sababli barcha tashkilotlar, ayniqsa hosting va server infratuzilmasiga ega subyektlar, o‘z tizimlarini zudlik bilan auditdan o‘tkazishi, xavfsizlik yangilanishlarini o‘rnatishi hamda doimiy monitoring mexanizmlarini kuchaytirishi zarur.