تحذير: ثغرة سي بانل خطيرة تُعرض آلاف المواقع للاختراق

تحذير من استغلال ثغرة خطيرة في سي بانل (cPanel) تتيح للمهاجمين تجاوز المصادقة وزرع برمجيات خبيثة للسيطرة الكاملة على خوادم المواقع المتضررة.

كشفت تقارير تقنية حديثة عن نشاط مكثف لمجموعات من المخترقين يستهدفون ثغرة أمنية حرجة في لوحة تحكم سي بانل (cPanel) وواجهة WHM، وهي الأدوات الأكثر انتشاراً لإدارة مواقع الويب عالمياً. وفقاً لما تابعه موقع تيكبامين، فإن هذه الثغرة تسمح للمهاجمين بالوصول غير المصرح به والتحكم الكامل في الخوادم.

ما هي ثغرة CVE-2026-41940 وكيف تهدد المواقع؟

تُعرف الثغرة تقنياً برمز CVE-2026-41940، وهي تكمن في آلية المصادقة الخاصة بأنظمة cPanel وWebHost Manager. يتيح هذا الخلل للمهاجمين تجاوز إجراءات الأمان والدخول بامتيازات مرتفعة، مما يعني قدرتهم على تعديل الملفات، سرقة البيانات، أو حتى إيقاف الخدمة بالكامل.

أشارت بيانات المراقبة إلى أن أكثر من 2000 عنوان IP حول العالم متورطة حالياً في هجمات تلقائية تستهدف هذه الثغرة. وتتوزع هذه الهجمات جغرافياً بشكل رئيسي من ألمانيا، الولايات المتحدة، هولندا، والبرازيل، مما يشير إلى حملة اختراق منظمة وواسعة النطاق.

كيف يتم زرع برمجية Filemanager الخبيثة؟

تستخدم المجموعات المهاجمة، وعلى رأسها كيان يعرف باسم Mr_Rot13، استراتيجية متعددة المراحل لترسيخ وجودها داخل الخوادم المخترقة. تبدأ العملية بتحميل نص برمجي (Shell Script) يقوم بجلب ملفات خبيثة تعتمد على لغة Go، تهدف إلى:

• زرع مفتاح SSH عام لضمان الدخول الدائم للخادم.
• تثبيت واجهة PHP (Web Shell) تسمح برفع وتحميل الملفات عن بُعد.
• تنفيذ أوامر برمجية مباشرة على نظام التشغيل.

سرقة البيانات عبر تقنيات التمويه

وفقاً لتقرير تيكبامين، يقوم المهاجمون بحقن أكواد جافا سكريبت لاستبدال صفحة تسجيل الدخول الأصلية بأخرى مزيفة. تهدف هذه الصفحة إلى سرقة بيانات اعتماد المدير (Credentials) وإرسالها مشفرة إلى خوادم المهاجمين باستخدام تشفير ROT13 البسيط للتمويه على أنظمة الحماية.

بمجرد الحصول على البيانات، يتم نشر برمجية خلفية (Backdoor) عابرة للمنصات، قادرة على إصابة أنظمة لينكس، ويندوز، وماك على حد سواء، مما يجعل المواقع المستضافة على هذه الخوادم بيئة خصبة لنشر الفيروسات.

ما هي البيانات التي يسعى المخترقون لسرقتها؟

لا يتوقف الأمر عند السيطرة على الموقع، بل تمتد أهداف الهجوم لتشمل جمع معلومات حساسة للغاية من المضيف المتضرر، تشمل الآتي:

• سجل أوامر النظام (Bash history) للبحث عن كلمات المرور.
• بيانات الوصول والاتصال عبر بروتوكول SSH.
• كلمات مرور قواعد البيانات الخاصة بالمواقع.
• الأسماء المستعارة الافتراضية (valiases) لرسائل البريد الإلكتروني.

يتم إرسال كافة هذه البيانات المسروقة إلى مجموعات خاصة على تطبيق تليجرام يديرها المخترقون، مما يسهل عليهم بيع هذه البيانات أو استخدامها في هجمات مستقبلية مثل فدية البيانات أو تعدين العملات الرقمية.

كيف تحمي خادمك من هجمات سي بانل؟

تشير الأدلة إلى أن المجموعات التي تقف وراء هذه الهجمات تعمل في الخفاء منذ سنوات، حيث تم رصد نطاقات مرتبطة بها تعود لعام 2020. ولتجنب الوقوع ضحية لهذه الهجمات، ينصح خبراء الأمن الرقمي بالآتي:

• تحديث لوحة تحكم سي بانل وWHM إلى أحدث إصدار فوراً.
• تفعيل المصادقة الثنائية (2FA) لجميع حسابات الإدارة.
• مراجعة سجلات الوصول بحثاً عن أي عناوين IP مشبوهة.
• تغيير مفاتيح SSH وكلمات مرور قواعد البيانات بشكل دوري.

في الختام، تبقى ثغرة cPanel تذكيراً مهماً بضرورة اليقظة الأمنية، حيث أن تأخير التحديثات البرمجية قد يكلف أصحاب المواقع فقدان بياناتهم أو تدمير سمعة منصاتهم الرقمية بالكامل.