Eksploitasi terhadap panel hosting hampir selalu memiliki dampak yang lebih besar dibanding kompromi aplikasi biasa. Ketika penyerang berhasil mengambil alih cPanel atau WHM, yang jatuh bukan hanya satu website, tetapi keseluruhan ekosistem hosting yang berada di bawah server tersebut. Inilah yang membuat eksploitasi CVE-2026-41940 menjadi berbahaya. Vulnerability ini bukan sekadar authentication bypass, tetapi pintu masuk menuju persistence, credential harvesting, dan pengambilalihan infrastruktur hosting secara diam-diam.
Threat actor bernama Mr_Rot13 memanfaatkan celah ini untuk mendistribusikan backdoor bernama Filemanager ke server yang berhasil dikompromi. Menariknya, serangan ini tidak menunjukkan pola “noisy attack” seperti ransomware atau defacement massal. Operator justru membangun akses jangka panjang melalui SSH key, web shell, dan pencurian kredensial administrator hosting.
Secara teknis, CVE-2026-41940 memungkinkan attacker memperoleh kontrol tinggi terhadap cPanel dan WHM tanpa proses autentikasi normal. Setelah akses awal diperoleh, attacker menjalankan shell script yang mengunduh payload tambahan menggunakan wget atau curl. Teknik seperti ini cukup umum pada serangan Linux modern karena payload utama dapat diganti sewaktu-waktu tanpa perlu mengubah exploit awal.
Baca Juga Tentang: Privilege Escalation
Payload yang diunduh berupa infector berbasis Go. Pemilihan Go karena Binary Go relatif stabil untuk deployment lintas distribusi Linux dan lebih mudah dipindahkan ke environment lain seperti Windows atau macOS. Dari sini terlihat bahwa operator tidak hanya menargetkan satu server hosting, tetapi mencoba membangun infrastruktur kompromi yang fleksibel.
Tahap berikutnya jauh lebih menarik dibanding sekadar implant web shell biasa. Malware mulai menanam SSH public key untuk persistence. Ini detail yang sering diabaikan administrator. Banyak proses incident response hanya fokus menghapus file PHP mencurigakan, padahal attacker masih dapat kembali masuk melalui SSH selama authorized_keys belum dibersihkan.
Setelah persistence berhasil dibuat, Filemanager diunggah ke server. Secara fungsi, backdoor ini memang memiliki kemampuan standar seperti file upload, download, dan command execution. Namun yang membuatnya berbahaya adalah kemampuannya menyisipkan JavaScript pada halaman login cPanel. Korban kemudian diarahkan ke tampilan login palsu yang terlihat normal, sementara kredensial yang dimasukkan dikirim ke server attacker.
Teknik ini menunjukkan bahwa target utama bukan hanya server, tetapi identitas administrator hosting. Dalam banyak kasus, password cPanel sering digunakan ulang untuk email, database, FTP, bahkan akses cloud panel lain. Begitu kredensial dicuri, attacker dapat melakukan lateral movement jauh di luar server awal.
Ada skenario realistis yang cukup relevan di sini. Bayangkan sebuah provider shared hosting kecil menggunakan satu WHM untuk mengelola ratusan website pelanggan. Ketika CVE-2026-41940 dieksploitasi, attacker memperoleh akses administratif penuh lalu mulai memanen kredensial pengguna melalui login injection. Dari sana, attacker dapat masuk ke akun email pelanggan, mengambil database website bisnis, atau menyisipkan JavaScript skimmer ke banyak domain sekaligus.
Inilah alasan mengapa kompromi hosting panel sering berkembang menjadi supply chain attack. Satu server hosting yang jatuh dapat menjadi jalur distribusi malware ke puluhan bahkan ratusan website lain. Dampaknya tidak lagi terbatas pada satu organisasi.
Data yang dicuri juga menunjukkan bahwa operasi ini cukup matang. Malware mengumpulkan bash_history, data SSH, password database, informasi perangkat, hingga konfigurasi valiases cPanel. Pengambilan bash_history sangat penting karena banyak administrator masih mengetik password database atau token API langsung melalui terminal. Dalam beberapa kasus, attacker bahkan tidak perlu melakukan brute force tambahan karena kredensial sensitif sudah tersedia di riwayat shell.
Hal lain yang menarik adalah rendahnya tingkat deteksi terhadap infrastruktur Mr_Rot13 selama bertahun-tahun. Domain command-and-control yang digunakan ternyata sudah aktif sejak 2020 dan pernah muncul pada sampel backdoor lama sejak 2022. Ini mengindikasikan operasi yang berjalan senyap dalam jangka panjang.
Banyak threat actor modern mulai meninggalkan pola ransomware agresif dan beralih ke persistence jangka panjang karena lebih menguntungkan. Akses diam-diam ke server hosting memiliki nilai besar untuk phishing infrastructure, distribusi malware, credential theft, hingga monetisasi melalui access brokerage.
Bagi praktisi keamanan, mitigasi terhadap kasus seperti ini tidak cukup hanya melakukan patch pada cPanel. Administrator perlu menganggap bahwa server mungkin sudah terkompromi sebelum patch diterapkan. Audit terhadap authorized_keys, cron job, service abnormal, dan file PHP mencurigakan menjadi langkah yang jauh lebih penting dibanding sekadar menghapus satu web shell.
Baca Juga Tentang: Web Shell PHP
Monitoring behavioral juga lebih efektif dibanding IOC berbasis domain. Aktivitas seperti curl | bash, child process shell dari Apache atau PHP-FPM, serta modifikasi file login page cPanel harus dianggap sebagai indikator kompromi serius. Dalam banyak kasus, persistence berbasis SSH justru menjadi jalur akses utama attacker setelah web shell terdeteksi.
Kasus CVE-2026-41940 adalah vulnerability pada control panel hosting memiliki efek domino yang sangat luas. Ketika panel administrasi berhasil diambil alih, attacker tidak hanya mendapatkan akses ke satu website, tetapi juga identitas pengguna, infrastruktur email, database pelanggan, dan potensi distribusi malware skala besar. Ini yang membuat kompromi hosting panel jauh lebih berbahaya dibanding eksploitasi aplikasi web biasa.
Benediktus Sava – Security Researcher
Sumber:
