Cảnh báo: lỗ hổng cPanel/WHM mới CVE-2026-29201/29202/29203, patch 23:00 ngày 08/05

Mục lục

cPanel vừa gửi cảnh báo cho admin trên toàn cầu về 3 CVE mới — CVE-2026-29201, CVE-2026-29202, CVE-2026-29203 — sẽ được vá vào 12:00 EST ngày 08/05/2026 (tức 23:00 giờ Việt Nam). Đây là đợt cảnh báo trước (pre-disclosure) tiếp nối lỗ hổng nghiêm trọng CVE-2026-41940 (CVSS 9.8) vừa bị khai thác hàng loạt cách đây 1 tuần.

Bài viết này tổng hợp toàn bộ tình hình, các phiên bản bị ảnh hưởng, và checklist cụ thể bạn cần làm trong 24 giờ tới để bảo vệ server.

TL;DR — Tóm tắt nhanh

  • Lỗ hổng cũ vừa nổ: CVE-2026-41940 (CVSS 9.8) — auth bypass qua CRLF injection vào cookie whostmgrsession, attacker chiếm quyền root mà không cần đăng nhập. Patch ra ngày 28/04/2026, đã có trong CISA KEV catalog từ 30/04. Gần 15.000 server cPanel bị flag malicious chỉ trong ngày 01/05.
  • Lỗ hổng mới sắp công bố: CVE-2026-29201/29202/29203 — chi tiết kỹ thuật sẽ được release cùng patch vào 12:00 EST 08/05/2026.
  • Việc cần làm ngay: Xác định server bị ảnh hưởng → kiểm tra /etc/cpupdate.conf → chạy /scripts/upcp ngay khi patch lên.
  • Khách hàng tnd.vn: Toàn bộ shared hosting và VPS có cài cPanel/WHM trong hệ thống chúng tôi đã được patch CVE-2026-41940. Đợt patch 08/05 sẽ được tự động áp dụng theo lịch upcp hàng ngày.

1. Bối cảnh: CVE-2026-41940 – cú đấm vào ngành hosting

Ngày 28/04/2026, cPanel âm thầm release patch cho một lỗi “session loading and saving” (CPANEL-52908) mà không công bố CVE. Một ngày sau, bản chất thật được xác định: authentication bypass tại login flow, attacker không cần username/password vẫn vào được WHM với quyền root.

Cơ chế khai thác

Theo phân tích của watchTowr LabsRapid7, lỗi nằm trong daemon cpsrvd:

  1. Trước khi xác thực, cpsrvd ghi session file mới ra disk.
  2. Attacker gửi Authorization: Basic header chứa raw \r\n (CRLF).
  3. Bằng cách bỏ một segment trong cookie whostmgrsession, value tránh được bước encrypt thông thường.
  4. Server ghi session file mà không sanitize, attacker chèn được property user=root.
  5. Request tiếp theo dùng session đó → đăng nhập root, không cần credentials.

Hậu quả thực tế trong 1 tuần qua

  • CISA đưa CVE vào KEV catalog ngày 30/04, yêu cầu các cơ quan liên bang Hoa Kỳ patch chậm nhất 03/05/2026.
  • Censys ghi nhận ~80% số host mới bị flag malicious ngày 01/05 đang chạy cPanel/WHM. Tổng số host malicious tăng ~19.000 trong một ngày, riêng cPanel chiếm hơn 15.000.
  • Hai luồng tấn công đang hoạt động: (a) deploy biến thể Mirai botnet sau khi chiếm quyền, (b) ransomware mã hoá file và gắn đuôi .sorry.
  • Namecheap, HostGator, KnownHost tạm khoá truy cập cPanel để patch hàng loạt customer. Các attempts khai thác được phát hiện từ cuối tháng 02/2026 — tức là CVE đã bị khai thác âm thầm 2 tháng trước khi được công bố.

2. Đợt CVE mới: CVE-2026-29201, 29202, 29203

Email cPanel gửi đi ngày 07/05 xác nhận:

“We have identified a new security vulnerability in cPanel & WHM through a trusted disclosure source… The patch will be available on May 08 at 12:00pm EST and will be distributed through the standard cPanel automatic update process and through the manual update process.”

Chi tiết kỹ thuật sẽ được release đồng thời với patch để tránh tạo zero-day. Vì đây là pre-disclosure nên vẫn chưa biết CVSS score và vector tấn công cụ thể, nhưng việc cPanel chủ động gửi email cảnh báo trước 1 ngày cho thấy mức độ nghiêm trọng không phải dạng vừa.

3. Phiên bản bị ảnh hưởng

cPanel/WHM theo branch versioning. Các branch đang được hỗ trợ và sẽ có patch:

  • Current branch (11.130+) — phiên bản mới nhất
  • LTS branch (11.126+) — Long-term support
  • Stable branch
  • Release branch
  • WP Squared (WP2) — phiên bản tối ưu cho WordPress hosting
  • DNSOnly

Nếu bạn đang chạy phiên bản EOL không được liệt kê, cập nhật lên phiên bản mới nhất bằng /scripts/upcp — các phiên bản EOL này nhiều khả năng vẫn dính lỗi nhưng sẽ không có patch riêng.

4. Checklist hành động trước 23:00 ngày 08/05

Bước 1: Kiểm tra phiên bản hiện tại

/usr/local/cpanel/cpanel -V

Hoặc xem trong WHM > Server Status > Server Information.

Bước 2: Kiểm tra cấu hình auto-update

cat /etc/cpupdate.conf

File này quyết định server có tự động cập nhật cPanel hay không. Xem các dòng:

  • UPDATES=automatic — Đang bật auto-update, OK.
  • UPDATES=manual hoặc never — Đang tắt, bạn phải manual update.
  • CPANEL=stable hoặc CPANEL=11.x — Đang pin vào branch/version cụ thể, kiểm tra branch đó có nằm trong danh sách được patch không.

Bước 3: Manual update khi patch lên (sau 23:00 VN ngày 08/05)

# Backup config trước cho chắc
cp /etc/cpupdate.conf /root/cpupdate.conf.bak

# Chạy upcp
/scripts/upcp

# Force update nếu thấy chậm hoặc cần ép upgrade
/scripts/upcp --force

Bước 4: Riêng cho CloudLinux 6

Nếu server đang chạy CloudLinux 6 (đã EOL nhưng nhiều VPS cũ vẫn chạy), trước khi update phải set update tier về cl6110:

sed -i "s/CPANEL=.*/CPANEL=cl6110/g" /etc/cpupdate.conf
/scripts/upcp

Bước 5: Verify sau khi patch

# Kiểm tra version mới
/usr/local/cpanel/cpanel -V

# Restart cpsrvd để chắc chắn binary mới được load
/scripts/restartsrv_cpsrvd

5. Hardening bổ sung

Trong khi chờ patch, có vài việc nên làm để giảm bề mặt tấn công:

  • Hạn chế IP truy cập WHM: Trong WHM > Host Access Control, chỉ allow IP văn phòng/VPN cho port 2087/2083. Cách này chặn được phần lớn scan automated.
  • Bật 2FA cho tất cả tài khoản root/reseller: WHM > Two-Factor Authentication. CVE-2026-41940 bypass auth nên 2FA không cứu được, nhưng các CVE khác thường cần credentials.
  • Audit log gần đây: Kiểm tra /usr/local/cpanel/logs/access_log/var/log/secure tìm các session lạ, đặc biệt request đến /login/ với header bất thường.
  • Tìm dấu hiệu compromise: File mới trong /usr/local/cpanel/var/sessions/ chứa user=root mà không match user thực, hoặc file .sorry xuất hiện trong webroot là red flag.
  • Backup off-site: Nếu chưa có, đây là lúc setup ngay. Ransomware đợt này encrypt cả file backup nằm cùng server.

6. Khách hàng TND.vn cần biết gì?

Hệ thống của TND.vn vận hành trên 3 lớp:

  • Shared hosting cPanel (VN + US): Đã patch CVE-2026-41940 ngay trong 24h sau khi công bố. Auto-update đang bật, đợt patch 08/05 sẽ được áp dụng tự động trong vòng 24-48h sau khi cPanel release.
  • VPS có cPanel: Khách quản lý OS-level, bạn chịu trách nhiệm chạy /scripts/upcp. Nếu bạn mua license cPanel qua TND, license vẫn valid để update bình thường.
  • VPS không có cPanel / Proxy server: Không bị ảnh hưởng bởi CVE này.

Nếu bạn đang dùng VPS có cPanel của chúng tôi và không tự tin xử lý, gửi ticket đến support TND.vn với tiêu đề “cPanel CVE-2026-29201 update”, team sẽ hỗ trợ check và update miễn phí trong tuần này.

7. Bài học rút ra

Vụ CVE-2026-41940 cho thấy mấy điểm đáng suy ngẫm cho bất kỳ ai vận hành server:

  • Auto-update không phải tuỳ chọn nữa. Khi attacker scan toàn internet trong vài giờ sau khi patch ra, mọi delay đều là nguy cơ. Việc pin version để “tránh break” chỉ hợp lý nếu bạn có quy trình patch nhanh thay thế.
  • Pre-auth vulnerability trên control panel = game over. cPanel quản lý hosting, mail, DNS, database — chiếm được nó là chiếm được toàn bộ tài sản số. Đặt control panel sau VPN hoặc IP allowlist là best practice nên áp dụng từ lâu.
  • Disclosure chỉ là phần nổi. Báo cáo của watchTowr Labs cho thấy CVE-2026-41940 đã bị khai thác từ tháng 02/2026, tức 2 tháng trước khi cPanel công bố. Đây là pattern bình thường, không phải ngoại lệ.
  • Có backup, có quy trình restore đã test. Ransomware .sorry không tha ai. Backup chỉ có giá trị khi bạn đã thử restore thật ít nhất một lần.

Tham khảo

Bài viết được cập nhật vào lúc 13:00 ngày 07/05/2026. Chúng tôi sẽ update thêm chi tiết kỹ thuật của CVE-2026-29201/29202/29203 ngay khi cPanel công bố vào 23:00 cùng ngày 08/05/2026.

Chia sẻ bài viết

Có thể bạn quan tâm

X
Cảnh báo: lỗ hổng cPanel/WHM mới CVE-2026-29201/29202/29203, patch 23:00 ngày 08/05

Cung cấp dịch vụ hosting, VPS nhanh nhất Việt Nam

  • Phòng 1102 Tầng 11 toà nhà Akashi số 10 Lê Hồng Phong, Quận Ngô Quyền, Tp. Hải Phòng

    Trụ sở chính

  • [email protected]

    Hỗ trợ nhiệt tình

  • 1900.2031

    24/7