كشف تقرير أمني حديث عن استغلال الجهات الخبيثة لثغرة حرجة في نظام cPanel، مما أدى إلى تثبيت برمجيات خبيثة، أبرزها بوابة خلفية تُعرف باسم Filemanager. تم استغلال هذه الثغرة، وهي CVE-2026-41940، بشكل واسع النطاق منذ الكشف عنها مؤخراً، بهدف الحصول على وصول غير مصرح به وإحداث أضرار جسيمة.
تمكنت الفرق الأمنية من تحديد هوية جهة تهديد رئيسية تُعرف باسم Mr_Rot13، والتي تقف وراء نشر هذا النوع من البرمجيات الخبيثة. تتيح الثغرة تجاوز آليات المصادقة، مما يمنح المهاجمين سيطرة متزايدة على لوحات التحكم الحيوية.
استغلال ثغرة cPanel يفتح الباب أمام هجمات متزايدة
وفقاً لتقرير صادر عن شركة QiAnXin XLab، فقد سارعت جهات تهديد متعددة إلى استغلال عيب الأمان في cPanel فور الكشف عنه في أواخر الشهر الماضي. تشمل الأنشطة الخبيثة التي تم رصدها تعدين العملات المشفرة، ونشر برامج الفدية، وانتشار شبكات الروبوت (botnet)، وزرع بوابات خلفية.
هذه الهجمات تستهدف الآلاف من عناوين IP حول العالم، مع تركزها بشكل أساسي في ألمانيا، والولايات المتحدة، والبرازيل، وهولندا. وتشير البيانات إلى استخدام مكثف لهجمات مؤتمتة تستهدف هذه الثغرة.
تفاصيل الهجوم وعملية زرع البرمجيات الخبيثة
أظهر التحليل المعمق لنشاط الاستغلال وجود نص برمجي (shell script) يقوم بتحميل برنامج عدوى يعتمد على لغة Go من خادم بعيد. يقوم هذا البرنامج بتثبيت مفتاح SSH عام لضمان الوصول المستمر إلى الأنظمة المخترقة، بالإضافة إلى زرع بوابة ويب (web shell) بصيغة PHP.
تعمل بوابة الويب هذه على تسهيل عمليات رفع وتنزيل الملفات، وتنفيذ الأوامر عن بعد. كما يتم استخدامها لحقن أكواد JavaScript لتقديم صفحة تسجيل دخول مزيفة بهدف سرقة بيانات الاعتماد وإرسالها إلى خادم يتحكم فيه المهاجم، وغالباً ما يتم تشفير هذه البيانات باستخدام تشفير ROT13.
بوابة خلفية متطورة وتاريخ طويل للتهديد
بعد سرقة بيانات الاعتماد، يتوج الهجوم بنشر بوابة خلفية متعددة المنصات يمكنها إصابة أنظمة Windows وmacOS وLinux. والأكثر من ذلك، يمتلك هذا البرنامج القدرة على جمع معلومات حساسة من النظام المخترق، بما في ذلك سجلات أوامر Bash، وبيانات SSH، ومعلومات الجهاز، وكلمات مرور قواعد البيانات، ليتم إرسالها إلى مجموعة Telegram.
تشير المؤشرات الأمنية إلى أن الجهة المسؤولة عن هذه العمليات تعمل بصمت منذ سنوات. وذلك بناءً على استخدام اسم النطاق الخاص بالتحكم والسيطرة (C2) في بوابة PHP خلفية تم تحميلها على منصة VirusTotal في أبريل 2022، بينما تم تسجيل هذا النطاق لأول مرة في أكتوبر 2020.
من اللافت للنظر أن معدل اكتشاف العينات والبنية التحتية المرتبطة بـ Mr_Rot13 ظل منخفضًا للغاية على المنتجات الأمنية خلال السنوات الست الماضية (من 2020 إلى الآن)، مما يعكس مدى تطور وتعقيد التهديدات السيبرانية.