보안동향

최신 보안정보를 신속하게 전해드립니다.

cPanel/WHM의 인증 우회 취약점, CVE-2026-41940

2026-05-04

1. 개요
2026년 4월 28일, cPanel & WHM에서 **치명적인 인증 우회 취약점(CVE-2026-41940)**이 공식 패치되었습니다. CVSS v3.1 점수 **9.8 (Critical)**로 평가된 이 취약점은 인증되지 않은 원격 공격자가 WHM 관리자(root) 권한을 획득할 수 있게 합니다.
cPanel & WHM은 전 세계 웹 호스팅 환경에서 가장 널리 사용되는 관리 패널로, Shodan 기준 약 150만 개 이상의 인스턴스가 인터넷에 노출되어 있습니다. 이 취약점은 약 2개월간 제로데이로 악용된 것으로 확인되었으며, CISA KEV 카탈로그에 등재되었습니다.


2. 취약점 상세 정보
영향 버전: cPanel & WHM 11.40 이후 모든 지원 버전 (DNSOnly 포함), WP Squared도 영향
패치 버전: 11.86.0.41+
11.110.0.97+
11.118.0.63+
11.124.0.35+
11.126.0.54+
11.130.0.19+
11.132.0.29+
11.134.0.20+
11.136.0.5+
WP Squared 136.1.7+

근본 원인 (CWE-93 CRLF Injection + 세션 처리 문제):Basic Auth 헤더를 통해 \r\n (CRLF) 문자 주입 가능
cpsrvd가 세션 파일(whostmgrsession 관련)을 sanitization 없이 기록
쿠키(whostmgrsession)의 특정 세그먼트( 부분) 생략 시 암호화 단계 우회
세션 파일(raw)과 JSON 캐시의 dual-storage race condition 활용
결과적으로 user=root, hasroot=1, successful_internal_auth_with_timestamp, tfa_verified=1 등의 속성을 주입해 관리자 세션 생성


3. 공격 체인
공격자가 Basic Auth 헤더에 CRLF 포함된 악의적 페이로드를 전송 (Authorization: Basic ...)
cpsrvd가 pre-auth 세션 파일 생성 시 페이로드 기록 (sanitization 부족)
whostmgrsession 쿠키 조작으로 암호화 우회 → plaintext로 민감 속성 주입
세션 로드 시 주입된 값(예: root 권한)이 신뢰되어 인증 우회
WHM root 접근 → 서버 전체 장악 (계정 관리, 파일/DB 접근, 백도어 설치 등)

watchTowr Labs가 상세 PoC를 공개하면서 공격 난이도가 크게 낮아졌습니다.


4. 피해현황
전 세계 영향: 수백만 도메인 관리 서버 노출
실제 악용: 2026년 2월 23일경부터 KnownHost 등에서 관찰 (제로데이 기간 약 2개월)
실제 사례: "Sorry" 랜섬웨어 공격에 악용, 대량 데이터 유출 및 암호화 보고
공유 호스팅 환경에서 특히 치명적 — 단일 공격으로 수천 고객 데이터 노출 가능
주요 호스팅사(Namecheap, HostGator 등)는 긴급 포트 차단 및 패치 진행

한국 호스팅/서버 환경에서 cPanel 사용이 상대적으로 적은 편이지만, 노출된 서버는 여전히 위험


5. 타임라인
2026년 2월 23일경: 야생 악용 시작 (제로데이)
2026년 4월 28일: cPanel 공식 패치 및 어드바이저리 배포
2026년 4월 29일: CVE 할당, watchTowr Labs 기술 분석 및 PoC 공개
2026년 4월 30일: CISA KEV 등재, Cloudflare 등 WAF 긴급 규칙 배포
현재: 대규모 스캐닝 및 공격 지속 중

6. 침해 탐지 및 IoC
cPanel에서 공식 IOC 탐지 스크립트(ioc_checksessions_files.sh)를 제공합니다.

주요 체크 항목:
/var/cpanel/sessions/raw/ 디렉토리 내 세션 파일 검사
badpass origin + hasroot=1, user=root, tfa_verified=1, successful_internal_auth_with_timestamp 조합
token_denied와 cp_security_token 동시 존재
pre-auth 세션에 인증 마커 존재
세션 파일 내 \r\n 또는 비정상 pass= 값

추가 탐지:/usr/local/cpanel/logs/access_log에서 이상 Basic Auth 또는 토큰 트래픽
최근 생성된 계정, cron job, 웹쉘, SSH 키 변경 감사

7. 완화 조치
즉시 업그레이드 (최우선): /scripts/upcp --force 실행 후 cpsrvd 재시작
임시 완화:관리 포트(2082/2083, 2086/2087 등) 방화벽 차단 또는 IP whitelist
WAF(ModSecurity, Cloudflare)에서 CVE 전용 규칙 적용

침해 후 대응:IOC 스크립트 실행 및 의심 세션 삭제
모든 관리자 비밀번호 및 SSH 키 로테이션
전체 서버 포렌식 조사 (백도어, persistence 확인)

장기 추천: 인터넷 노출 최소화, 2FA 강화, 불필요한 서비스 비활성화

8. 참고자료
cPanel 공식 어드바이저리: https://support.cpanel.net/hc/en-us/articles/40073787579671
NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-41940
watchTowr Labs 상세 분석: https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/
Rapid7 분석: https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/
CISA KEV

목록