cPanel'in 30 günlük sessiz çöküşü: 70 milyon alan adı yönetici erişim tehlikesinde

KnownHost'ta Daniel Pearson, 23 Şubat'ta bir anormallik fark etti: Şirketin hosting ağındaki sunucularda beklenmedik giriş denemeleri başlamıştı. CEO olarak bu tür güvenlik uyarılarını rutin kabul edebilirdi, ancak bu sefer farklıydı. Saldırganlar şifre denemesi yapmıyordu; direkt olarak cPanel ve WebHost Manager panellerine şifresiz erişim sağlıyorlardı. Pearson bu anormalliği tespit ettiğinde, internetteki 70 milyondan fazla alan adını yöneten yazılımın tüm desteklenen sürümlerinde kritik bir kimlik doğrulama açığı olduğunu henüz bilmiyordu. CVE-2026-41940 olarak adlandırılan bu zafiyet, saldırganların HTTP başlıklarını manipüle ederek root seviyesinde yetkisiz erişim sağlamasına izin veriyordu—ve kamuya açıklanmasından en az 30 gün önce aktif olarak kullanılıyordu.

Saldırılar 30 gün boyunca açık kaldı

KnownHost'un binlerce bilgisayardan oluşan ağında, yaklaşık 30 sunucuda yetkisiz erişim girişiminin belirtileri tespit edildi. Saldırılar şubat ayının son haftasında başlamış, ancak açığın kamuya duyurulması ve yamaların yayınlanması 30 Nisan'a kadar gerçekleşmemişti. Bu iki aylık süre boyunca dünya genelinde milyonlarca web sitesi saldırılara açık durumda kaldı.

Kanada'nın ulusal siber güvenlik ajansı Canadian Centre for Cyber Security, istismarın "yüksek oranda olası" olduğunu ilan ederek acil işlem gerektirdiğini bildirdi. Bu değerlendirme sadece teorik bir risk değildi—KnownHost'un gözlemleri, saldırganların açığı keşfettiğini ve aktif olarak kullandığını kanıtlıyordu.

Açığın keşfi ile kamuya duyurusu arasındaki zaman farkı, güvenlik açığı koordinasyonunda nadir değil. İki aylık bir koordine açıklama penceresi kritik zafiyetler için makul sayılabilir. Ancak bu durumda dikkat çekici olan, cPanel ekibinin yamayı hazırlayıp yayınladığı süreçte, saldırganların aynı anda bu açığı keşfedip kullanmaya başlamış olmasıdır. Bu paralellik, ya açığın bağımsız olarak keşfedildiğini ya da bilginin sızdırılmış olabileceğini gösteriyor.

CVE-2026-41940 nedir: Kimlik doğrulama bypass mekanizması

CVE-2026-41940, cPanel ve WebHost Manager yazılımının kimlik doğrulama mekanizmasındaki temel bir tasarım hatasından kaynaklanıyor. Watchtowr Labs'ın teknik analizine göre, zafiyet session yönetiminde ortaya çıkıyor: saveSession() fonksiyonu, session obfuscation anahtarı eksik olduğunda CRLF (Carriage Return Line Feed) karakterlerini düzgün filtrelemiyor.

Bu teknik detay pratikte şu anlama geliyor: Saldırganlar HTTP Basic authentication başlıklarına CRLF injection yaparak, session dosyalarına keyfi anahtar-değer çiftleri ekleyebiliyor. Özellikle kritik olan, successful_internal_auth_with_timestamp değerinin enjekte edilmesi. Bu değer mevcut olduğunda, cPanel'in daemon servisi cpsrvd, şifre kontrolünü tamamen atlayarak kullanıcıyı doğrulanmış kabul ediyor—yani /etc/shadow dosyasındaki şifre hash'lerini kontrol etme adımını hiç çalıştırmıyor.

The Hacker News'in raporunda belirtildiği gibi, saldırganlar whostmgrsession cookie'sini manipüle ederek user=root gibi keyfi özellikler ekleyebiliyor. Bu, sadece giriş yapmak değil, doğrudan root yetkisiyle sistem kontrolü ele geçirmek anlamına geliyor.

cPanel'in kendisi CVE-2026-41940'ın resmi bir CVE kimliği olmadığını belirtmiştir. Güvenlik topluluğu ve araştırmacılar bu tanımlayıcıyı kullanmaya devam etmektedir.

CRLF injection ve session dosya manipülasyonu nasıl çalışıyor

Zafiyet iki ayrı teknik zayıflığın birleşiminden doğuyor. İlki, session obfuscation mekanizmasının eksikliği. cPanel normalde session dosyalarını gizlemek için bir anahtar kullanır, ancak bu anahtar yoksa encoding devre dışı kalıyor ve CRLF karakterleri olduğu gibi session dosyasına yazılıyor.

İkinci zayıflık ise cpsrvd daemon'ının session caching davranışında. Watchtowr Labs'ın bulgularına göre, daemon öncelikle JSON cache dosyalarını tercih ediyor, düz metin session dosyalarını değil. Bu, ilk bakışta injection'ın çalışmasını engelliyor gibi görünse de, saldırganlar token-validation hatası tetikleyerek cache'in yenilenmesini zorlayabiliyor. Cache yenilendiğinde, manipüle edilmiş session dosyası okunuyor ve sahte kimlik doğrulama bilgileri aktif hale geliyor.

Saldırı akışı şöyle:

1. Saldırgan HTTP Basic authentication başlığına CRLF karakterleri ekleyerek özel hazırlanmış bir istek gönderiyor 2. saveSession() bu karakterleri filtrelemediği için, saldırganın belirlediği successful_internal_auth_with_timestamp ve user=root gibi değerler session dosyasına yazılıyor 3. Token-validation hatası tetiklenerek cache yenilenmesi sağlanıyor 4. cpsrvd manipüle edilmiş session'ı okuyup, şifre kontrolünü atlayarak kullanıcıyı root olarak doğruluyor

Bu mekanizma, şifre denemesi, brute-force ya da sosyal mühendislik gerektirmiyor. Yalnızca HTTP başlıklarını doğru şekilde yapılandırma yeteneği yeterli oluyor—ve bu bilgi artık açık kaynaklarda mevcut.

Büyük hosting sağlayıcılar acil durum protokolünü başlattı

cPanel'in tüm desteklenen versiyonları—110.0.x'ten 136.0.x'e kadar altı farklı release track—etkilendiği için, büyük hosting sağlayıcıları hızlı hareket etmek zorunda kaldı.

Namecheap ve HostGator gibi dev platformlar, müşteri sistemlerine erişimi engelleyerek acil durum protokolünü başlattı. Özellikle 2083 ve 2087 portları—cPanel ve WHM'in varsayılan erişim portları—The Hacker News'e göre geçici olarak bloke edildi. Bu, müşterilerin kendi yönetim panellerine erişimini kesmek anlamına geliyor, ancak saldırganların da aynı yolu kullanmasını engelliyor.

Bu müdahale, yama uygulanana kadar geçici bir koruma katmanı sağladı. Namecheap ve HostGator müşterilerine yamaları otomatik olarak uygulamaya başladı. Hosting sağlayıcıları normalde müşterilerin kendi yama zamanlamalarını yapmasına izin verir, ancak bu durumda bekleme lüksü yoktu.

KnownHost ise 30 sunucudaki yetkisiz erişim belirtilerini tespit ettikten sonra kendi müdahalelerini başlattı. Binlerce sunuculuk bir ağda 30'un az bir oran olduğu düşünülebilir, ancak bu sayı yalnızca tespit edilen girişimleri temsil ediyor.

2 milyondan fazla cPanel örneği internette açık durumda

Eye Security'nin taramaları, 2 milyondan fazla cPanel örneğinin doğrudan internete açık olduğunu ortaya koydu. Doğrudan erişilebilir bu sistemler, saldırganların tarama ve hedef seçme işini kolaylaştırıyor. Firewall korumasıyla çalışan sayısız başka kurulum daha var, ancak 2 milyon açık sistem yüksek bir rakam.

cPanel ve WHM birlikte 70 milyondan fazla alan adını yönetiyor. Bu ölçek, web hosting endüstrisinde cPanel'in ne kadar yaygın kullanıldığını gösteriyor. Küçük bloglardan e-ticaret sitelerine, kurumsal portföylere kadar geniş bir yelpaze bu yazılıma bağımlı. CVE-2026-41940'ın tüm desteklenen sürümleri etkilemesi, bu 70 milyonluk havuzun tamamını potansiyel hedef haline getiriyor.

2 milyon açık örnek ve 70 milyon etkilenen alan adı farklı risk seviyeleri taşıyor. Firewall arkasında, VPN erişimiyle ya da IP whitelist kurallarıyla korunan cPanel kurulumları, doğrudan internete açık olanlardan daha az risk altında. Yine de bir hosting sağlayıcısı içinden yapılan bir saldırı ya da yanlış yapılandırılmış bir firewall kuralı, bu koruma katmanlarını etkisiz hale getirebilir.

KnownHost'un raporladığı "yetkisiz erişim girişiminin belirtileri" ifadesi, girişim yapıldığını ancak başarılı sızma onaylanmadığını gösteriyor. Yine de 30 günlük aktif istismar penceresi ve 2 milyon açık örnek kombinasyonu, ciddi bir maruz kalma yüzeyi yaratıyor.

Yama uygulanması için acil adımlar

cPanel altı farklı release track için yamalar yayınladı: 110.0.x, 120.0.x, 124.0.x, 130.0.x, 134.0.x ve 136.0.x. Her bir track için güncellenmiş sürümler mevcut ve Watchtowr Labs'ın raporuna göre sistem yöneticilerinin hemen yükseltme yapması gerekiyor.

Hosting sağlayıcılarının otomatik yama politikaları burada kritik rol oynuyor. Namecheap ve HostGator gibi büyük platformlar müşterilerine otomatik yama uyguladı, ancak VPS ya da dedicated sunucu sahipleri kendi güncellemelerini manuel olarak yapmak zorunda. Bu grup özellikle riskli: Sistem yönetimi bilgisi sınırlı olan küçük işletmeler ya da bireysel site sahipleri, güncellemeyi geciktirebilir ya da atlayabilir.

2083 ve 2087 portlarının bloke edilmesi, yama uygulanana kadar geçici bir çözüm sunuyor. Ancak bu yaklaşım uzun vadede sürdürülebilir değil—web sitesi sahipleri ve geliştiriciler kendi panellerine erişmek zorunda. Geçici port engeli kaldırıldığında, yamasız sistemler tekrar açık hale gelecek.

Session obfuscation anahtarının eksik olduğu sistemlerde risk daha yüksek. Yama yüklenene kadar, saldırganlar mevcut session dosyalarını manipüle edebilir ve bu oturumlar cpsrvd yeniden başlayana kadar aktif kalabilir.

Web hosting endüstrisinin altyapı zafiyeti

CVE-2026-41940, hosting katmanındaki ilk kritik açık değil ve son da olmayacak. Ancak bu zafiyet, hosting altyapısının ne kadar hassas olduğunu ve bir kimlik doğrulama hatasının ne kadar geniş etki yaratabildiğini gösteriyor. Şifre brute-force, SQL injection ya da XSS gibi uygulama katmanı saldırılarının aksine, bu açık doğrudan hosting kontrol paneline erişim sağlıyor. Tek bir başarılı istismar, yüzlerce ya da binlerce web sitesini aynı anda tehlikeye atabilir.

30 günlük sessiz istismar penceresi, sıfır gün açıklarının gerçek tehditini gösteriyor. Açık kamuya duyurulmadan önce keşfedilip kullanılıyorsa, savunma tarafı kör noktada kalıyor. IDS/IPS sistemleri, imza tabanlı güvenlik çözümleri ve geleneksel izleme araçları, henüz tanımlanmamış bir saldırı desenini tespit edemez. KnownHost'un anomali tespiti şanslı bir durum—çoğu sağlayıcı muhtemelen benzer belirtileri fark etmeden geçti.

70 milyon alan adı ölçeği endüstriyel monokültürün riskini açık eder. Modern internetin önemli bir kısmı tek bir yazılıma dayanıyor ve bu yazılımdaki tek bir hata, milyonlarca siteyi bir anda etkileyebiliyor. Bu kırılganlık, işletim sistemleri ya da tarayıcılarla sınırlı değil—web hosting altyapısında da geçerli. CVE-2026-41940, bu sistemik bağımlılığın ne kadar pahalı olabileceğini ortaya koymaktadır.