Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
CVE-2026-41940 in cPanel: patch troppo lente, siti cancellati e malware in pochi minuti
Nel panorama della cybersecurity 2026 il tempo tra patch e sfruttamento si sta riducendo drasticamente e la settimana appena trascorsa lo conferma. Gli attaccanti non puntano solo al breach iniziale ma all occupazione prolungata di ambienti SaaS, sessioni gia autenticate e pipeline di sviluppo, muovendosi con tecniche sempre piu professionali e difficili da rilevare.
Un segnale chiaro arriva dallo sfruttamento attivo di una vulnerabilita critica in cPanel e WebHost Manager identificata come CVE 2026 41940. Il difetto consente un bypass di autenticazione e puo concedere controllo elevato del pannello, con impatti che includono cancellazione completa di siti e backup, distribuzione di varianti Mirai e persino ransomware.
Sul fronte dell accesso iniziale cresce l uso del vishing per aggirare la multifactor authentication. Gruppi criminali conducono campagne rapide e ad alto impatto inducendo dipendenti a raggiungere pagine di phishing che imitano il single sign on aziendale. Una volta ottenute le credenziali, gli attori possono registrare nuovi dispositivi MFA sotto il proprio controllo e cancellare email di avviso, mantenendo una singola sessione valida per spostarsi lateralmente in interi ecosistemi SaaS usando proxy residenziali per confondersi con traffico domestico legittimo.
Tra le minacce piu tecniche spicca Copy Fail, CVE 2026 31431, una falla logica nel kernel Linux sfruttata attivamente che abilita privilege escalation affidabile tramite un exploit Python di dimensioni ridotte. Il problema colpisce molte distribuzioni dal 2017, opera in memoria senza lasciare tracce su disco e puo facilitare anche la fuga da container in cluster Kubernetes, rendendo prioritario l aggiornamento dei sistemi e la verifica delle immagini e dei nodi.
Non meno critica e la sicurezza della supply chain open source. Campagne come quelle attribuite a TeamPCP compromettono pacchetti in ecosistemi come npm e PyPI e sfruttano pipeline CI CD legittime per distribuire versioni avvelenate con identita reali, aumentando la difficolta di rilevamento. In parallelo e stata evidenziata una vulnerabilita GitHub con CVE 2026 3854 che puo portare a remote code execution con un semplice git push, con impatti potenzialmente enormi su repository e segreti interni.