Eine massiv ausgenutzte Sicherheitslücke in der weit verbreiteten Hosting-Software cPanel und WebHost Manager (WHM) hat weltweit zu mehr als 44.000 kompromittierten Servern geführt. Die Schwachstelle CVE-2026-41940 mit einem CVSS-Score von 9,8 – der höchsten Bedrohungsstufe – ermöglicht Angreifern den vollständigen Root-Zugriff auf betroffene Systeme, ohne dass eine Authentifizierung erforderlich ist.
Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Leitfaden jetzt kostenlos herunterladen
Die Schwachstelle im Detail
Im Zentrum des Angriffs steht eine CRLF-Injection-Lücke im cpsrvd-Dienst von cPanel. Diese erlaubt es nicht authentifizierten Angreifern, die Authentifizierung zu umgehen und vollständige Administratorrechte zu erlangen. Ursprünglich waren rund 650.000 Instanzen potenziell gefährdet, wie die Überwachungsgruppe Shadowserver meldet. Mindestens 44.000 eindeutige IP-Adressen wurden bereits erfolgreich angegriffen.
Die US-Behörde CISA hat eine Frist für Bundesbehörden gesetzt, die Anfang Mai ausläuft. Für deutsche Unternehmen und Hosting-Provider ist die Lage besonders brisant: Rund 4.200 kompromittierte Server in der Bundesrepublik zeigen, dass auch der europäische Markt massiv betroffen ist.
„Sorry“-Ransomware und automatisierte Angriffswelle
Die Ausnutzung von CVE-2026-41940 begann bereits im Februar 2026 als Zero-Day-Exploit. Seitdem hat sich die Lage dramatisch zugespitzt. Haupttreiber ist ein neuer Ransomware-Stamm namens „Sorry“, der in Go programmiert ist und eine Kombination aus ChaCha20- und RSA-2048-Verschlüsselung einsetzt. Betroffene Dateien erhalten die Endung „.sorry“.
Die Lösegeldforderungen belaufen sich im Durchschnitt auf umgerechnet rund 6.500 Euro. Die Kommunikation mit den Erpressern läuft über die dezentrale Messaging-Plattform Tox. Doch die Angreifer beschränken sich nicht auf Erpressung: Sie integrieren die kompromittierten Server auch in Botnetze, insbesondere in Mirai-basierte Varianten für DDoS-Angriffe.
Besonders besorgniserregend ist die Automatisierung der Angriffe. Ein Python-basiertes Exploit-Framework namens „cPanelSniper“ ermöglicht es Angreifern, den gesamten Angriffsprozess zu automatisieren – von der Identifizierung verwundbarer Systeme über die Ausnutzung der Lücke bis zur Übernahme der Kontrolle. In Kombination mit Reconnaissance-Tools wie Shodan können Tausende von Servern mit minimalem manuellen Aufwand angegriffen werden.
Geografische Verteilung und öffentliche Einrichtungen betroffen
Die USA sind mit mehr als 15.200 kompromittierten IPs am stärksten betroffen. In Europa liegen Frankreich mit 4.300 und Deutschland mit 4.200 kompromittierten Servern an der Spitze. Die Angriffswelle hat auch den öffentlichen Sektor erfasst: Die Regierung von Guam bestätigte, dass mehrere offizielle Websites nach der Ausnutzung der cPanel-Lücke kompromittiert wurden.
Honeypot-Daten zeigen eine hohe Angriffsintensität – einige Sensoren registrierten innerhalb von 48 Stunden Hunderte von Exploit-Versuchen. Sicherheitsanalysten haben vier verschiedene Angriffsprofile identifiziert: Aufklärung, Einrichtung persistenter SSH-Schlüssel mit 4096-Bit-RSA-Schlüsseln, vollständige Account-Übernahme und reine Remote-Code-Ausführung.
Rekord-Schäden durch Phishing und Server-Exploits zeigen, wie wichtig eine sensibilisierte Belegschaft ist. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich proaktiv gegen moderne Manipulationstaktiken absichern kann. Gratis-Ratgeber zur Hacker-Abwehr sichern
Gefahr für die gesamte IT-Infrastruktur
Die cPanel-Krise ist Teil einer größeren Welle von Sicherheitslücken in Unternehmensinfrastrukturen. Parallel dazu haben NCSC und CISA zur sofortigen Behebung einer weiteren kritischen Lücke (CVE-2025-53521) in F5 BIG-IP-Systemen aufgerufen – ebenfalls mit einem CVSS-Score von 9,8.
Der Europol-Bericht IOCTA 2026 dokumentiert diesen Trend: Online-Betrug und Ransomware bleiben die am schnellsten wachsenden Bereiche der organisierten Kriminalität. Allein 2025 wurden über 120 aktive Ransomware-Groups beobachtet. Künstliche Intelligenz und automatisierte Exploit-Frameworks treiben diese Entwicklung zusätzlich an.
Auch die Lieferketten-Sicherheit steht unter Beschuss. Eine Operation namens „Mini Shai-Hulud“ zielte auf über 1.800 Entwickler ab, indem sie kompromittierte SAP npm-Pakete und Lightning-Softwareversionen nutzte. Die Angreifer stahlen Anmeldedaten und API-Schlüssel und exfiltrierten die Daten über öffentliche GitHub-Repositories.
Schutzmaßnahmen und Handlungsempfehlungen
Administratoren müssen cPanel und WHM umgehend auf Build 11.136.0.5 oder höher aktualisieren. Sicherheitsexperten warnen jedoch: Ein einfaches Patchen reicht bei bereits kompromittierten Systemen nicht aus. Da der Exploit die Installation persistenter SSH-Schlüssel ermöglicht, bleibt der Angreiferzugriff auch nach dem Update bestehen.
Empfohlen wird daher eine vollständige Systemwiederherstellung aus einem bekannten, sicheren Backup, das vor Februar 2026 erstellt wurde. Zudem sollten Unternehmen ihre autorisierten Schlüsseldateien und Sitzungsprotokolle gründlich überprüfen. Die Verwendung von hardwarebasierten Sicherheitsschlüsseln als alleiniger Authentifizierungsfaktor wird zunehmend empfohlen.
Die finanziellen Auswirkungen sind enorm: Allein in den USA erreichten betrugsbedingte Verluste 2025 einen Rekordwert von umgerechnet rund 19 Milliarden Euro. Ein erheblicher Teil dieser Verluste geht auf komplexe Identitätstäuschungen und Infrastrukturkompromittierungen zurück.
Ausblick
Die Massenausbeutung von cPanel-Servern zeigt eindringlich die Verwundbarkeit zentralisierter Verwaltungswerkzeuge. Der Fokus der Cybersicherheitsbranche verschiebt sich hin zur „cyber-physischen Resilienz“ – der Fähigkeit, Kernprozesse auch dann zu schützen, wenn die Netzwerkperimeter bereits durchbrochen wurden.
In den kommenden Monaten ist mit verstärktem regulatorischem Druck auf Infrastrukturanbieter zu rechnen. In den Niederlanden hat die Polizei bereits alle 60.000 Beamten verpflichtet, täglich an der Bekämpfung von Cyberkriminalität mitzuwirken. Für Unternehmen bleibt die Priorität klar: automatisierte Patch-Zyklen und die Implementierung von Zero-Trust-Architekturen, um die Auswirkungen der nächsten schwerwiegenden Sicherheitslücke zu minimieren.
