Cảnh báo bảo mật khẩn dịp nghỉ lễ 30/4 – 1/5: Lỗ hổng cPanel & WHM CVE-2026-41940 đang bị khai thác

Cập nhật: 30/04/2026

Đúng vào kỳ nghỉ lễ 30/4 – 1/5, một lỗ hổng bảo mật cực kỳ nghiêm trọng vừa được công bố ảnh hưởng đến toàn bộ các phiên bản cPanel & WHM đang được hỗ trợ. Hacker đã có exploit công khai và đang quét hàng loạt server trên toàn cầu để chiếm quyền root. Đây là thời điểm vàng cho kẻ tấn công vì phần lớn dev và sysadmin đang nghỉ, không theo dõi server.

Nếu bạn hoặc team đang vận hành VPS/dedicated server có cPanel, đừng để đến hết lễ mới xử lý.

Mức độ nguy hiểm

• Mã CVE: CVE-2026-41940
• Điểm CVSS: 9.8/10 (mức Critical, gần như tối đa)
• Loại lỗ hổng: Authentication Bypass (bỏ qua xác thực hoàn toàn)
• Tác động: Hacker chiếm quyền root server từ xa, không cần password, không cần tài khoản
• Tình trạng: Đã có proof-of-concept exploit công khai trên internet, đã ghi nhận tấn công thực tế

Một khi server bị chiếm, hacker có thể đọc toàn bộ database khách hàng, cài backdoor, mã hóa tống tiền, dùng server để spam hoặc tấn công bên thứ ba, đánh cắp credit card từ form thanh toán của các website đang hosting trên đó.

Tại sao dịp nghỉ lễ lại nguy hiểm hơn bình thường

1. Hacker target đúng kỳ nghỉ. Đây là pattern lặp lại nhiều năm – các đợt ransomware lớn nhất lịch sử đều xảy ra vào cuối tuần dài hoặc dịp lễ (Kaseya 4/7, Colonial Pipeline cuối tuần, WannaCry thứ 6).
2. Phản ứng chậm. Dev nghỉ lễ, không kiểm tra log, không nhận được alert. Một server bị chiếm sáng 30/4 có thể mất 4-5 ngày mới được phát hiện.
3. Đổi mật khẩu cũng vô ích nếu chưa patch. Lỗ hổng này bypass cả authentication – đổi password mạnh đến đâu cũng không cứu được nếu chưa update phiên bản.
4. Auto-update có thể chưa chạy. Nhiều server tự pin version để tránh lỗi, hoặc auto-update bị disable. Những server này đang nằm chờ bị quét.

Phiên bản đã được vá

Cập nhật ngay lên các phiên bản sau (hoặc mới hơn):

• cPanel & WHM 110.0.x: vá ở 11.110.0.97
• cPanel & WHM 118.0.x: vá ở 11.118.0.63
• cPanel & WHM 126.0.x: vá ở 11.126.0.54
• cPanel & WHM 132.0.x: vá ở 11.132.0.29
• cPanel & WHM 134.0.x: vá ở 11.134.0.20
• cPanel & WHM 136.0.x: vá ở 11.136.0.5
• WP Squared: vá ở 136.1.7

Hướng dẫn xử lý theo trình độ

Nếu bạn không biết kỹ thuật

Liên hệ ngay nhà cung cấp hosting hoặc đơn vị quản trị server của bạn, gửi nguyên đoạn này cho họ:

“Nhờ team check server giúp em vụ CVE-2026-41940 cPanel auth bypass công bố ngày 28/4. Em cần biết server đang chạy version gì, đã patch chưa, có dấu hiệu compromised không. Cần phản hồi trong hôm nay vì lỗ hổng đang bị khai thác.”

Nếu nhà cung cấp không phản hồi trong vài tiếng, đây là dấu hiệu xấu – cân nhắc tìm đơn vị khác có ops 24/7.

Nếu bạn có quyền SSH vào server

Bước 1: Kiểm tra phiên bản hiện tại

/usr/local/cpanel/cpanel -V

So sánh với danh sách phiên bản đã vá ở trên.

Bước 2: Update khẩn nếu chưa vá

/scripts/upcp --force

Lệnh này force update lên phiên bản mới nhất trong cùng release tier.

Bước 3: Kiểm tra dấu hiệu bị tấn công (IOC scan)

# Tìm session file đáng ngờ có pattern injection
grep -rE "user=root" /var/cpanel/sessions/ 2>/dev/null

# Liệt kê session file mới được tạo gần đây
find /var/cpanel/sessions -type f -mtime -7 -ls

# Check log login WHM tìm pattern bất thường
grep "POST /login" /usr/local/cpanel/logs/access_log | tail -100

# Kiểm tra tài khoản lạ trên hệ thống
awk -F: '$3 >= 1000 {print $1}' /etc/passwd

# Check API token đáng ngờ
whmapi1 list_tokens

Bước 4: Hardening tạm thời

Hạn chế truy cập port 2087 (WHM) chỉ từ IP của bạn:

# Thay YOUR_IP bằng IP thật của bạn
iptables -I INPUT -p tcp --dport 2087 -s YOUR_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 2087 -j DROP

Nếu phát hiện dấu hiệu đã bị xâm nhập

Đừng cố tự dọn dẹp. Backdoor cPanel rất khó phát hiện hết bằng mắt thường. Việc cần làm:

1. Snapshot toàn bộ server trước khi làm gì (để forensics).
2. Đổi tất cả password root, reseller, database, email.
3. Revoke toàn bộ API token: whmapi1 list_tokens rồi whmapi1 revoke_api_token token_name=tên_token.
4. Backup data quan trọng (database, file user) ra nơi khác.
5. Cân nhắc rebuild server từ đầu, restore data từ backup sạch (trước ngày 28/4).
6. Báo cho khách hàng đang hosting trên server biết, đề nghị họ đổi password và check hoạt động bất thường.

Khuyến nghị từ TND.vn

• Bật auto-update cPanel ngay nếu đang tắt. Đánh đổi rủi ro update làm vỡ vài tính năng còn dễ chịu hơn bị hack toàn bộ server.
• Đặt lịch monitor server kể cả ngày lễ. Một con bot Telegram đơn giản gửi alert khi có login thành công vào WHM cũng đã giúp ích nhiều.
• Hạn chế WHM (port 2087) bằng firewall – chỉ mở cho IP văn phòng hoặc qua VPN. Không có lý do gì để port này mở ra cả internet.
• Backup offsite, có versioning. Nếu server bị mã hóa hôm nay mà backup cũng bị overwrite, coi như mất sạch.

TND.vn đã xử lý gì cho khách hàng

Toàn bộ server hosting của TND.vn đã được kiểm tra và cập nhật phiên bản vá trong tối 28/4 – sáng 29/4. Team kỹ thuật của TND đã chạy IOC scan trên toàn bộ shared hosting node, không phát hiện dấu hiệu xâm nhập. Khách hàng VPS dùng cPanel do TND quản lý đã được patch tự động.

Khách hàng tự quản trị VPS riêng, vui lòng tự kiểm tra và update theo hướng dẫn ở trên. Nếu cần TND hỗ trợ khẩn cấp trong dịp lễ, vui lòng liên hệ qua hotline kỹ thuật, email hoặc live chat trên tnd.vn.

Tài liệu tham khảo

• Advisory chính thức của cPanel: support.cpanel.net
• Phân tích kỹ thuật từ watchTowr Labs: labs.watchtowr.com
• CVE record: nvd.nist.gov

---

Bài viết được cập nhật khi có thông tin mới. Nếu thấy hữu ích, share cho bạn bè đang làm sysadmin hoặc dev đang nghỉ lễ – một bài share có thể cứu cả một server.