Casi una semana después de que los creadores del popular software de administración de servidores web cPanel y WebHost Manager (WHM) alertaran a los usuarios sobre una falla crítica en su software, los piratas informáticos ahora están comprometiendo masivamente miles de sitios web que dependen del software vulnerable.
Hasta el lunes, hay más de 550.000 servidores potencialmente vulnerables ejecutando cPanel, un número que se ha mantenido estable durante días. Y ahora hay alrededor de 2.000 instancias de cPanel probablemente comprometidas, frente a las 44.000 del jueves. Estas estadísticas son publicadas por Shadowserver, una organización sin fines de lucro que escanea y monitorea Internet en busca de ciberataques.
El jueves, investigadores de seguridad alertaron que los piratas informáticos comenzaron a comprometer los servidores que ejecutaban cPanel y WHM, aprovechando un error que permitió a los atacantes tomar el control total y secuestrar los servidores vulnerables a través de sus paneles de control.
Como informó Bleeping Computer, parte del alcance del daño hasta ahora es visible por el hecho de que Google ha indexado docenas de sitios web que en algún momento mostraron un mensaje de un grupo de piratas informáticos que afirmaban haber cifrado los archivos de la víctima en un aparente ataque de ransomware. Algunos de esos sitios ahora se cargan normalmente.
La nota de rescate incluía una identificación de chat para que las víctimas se comunicaran con los piratas informáticos, quienes no respondieron de inmediato a la solicitud de comentarios de TechCrunch.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió el jueves que la vulnerabilidad, rastreada como CVE-2026-41940, estaba siendo explotada en estado salvaje y la agregó a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). CISA pidió a las agencias gubernamentales que aplicaran parches antes del domingo. CISA no respondió de inmediato a una solicitud de comentarios, preguntando si podía confirmar que las agencias gubernamentales habían parcheado sus servidores.
Es probable que los ataques contra servidores web que ejecutan cPanel y WHM hayan estado en curso desde mucho antes de que se revelara la vulnerabilidad. Según el director ejecutivo de KnownHost, Daniel Pearson, su empresa detectó ataques ya el 23 de febrero.
Un portavoz anónimo de cPanel acusó recibo de la solicitud de comentarios de TechCrunch, pero no proporcionó una respuesta.
Actualizado con respuesta de cPanel.
Cuando compra a través de enlaces en nuestros artículos, podemos ganar una pequeña comisión. Esto no afecta nuestra independencia editorial.
