Ulaşım
- Adres:2342 Sk, İpekyol, İpek Ap 49A, 63250 Haliliye/Şanlıurfa
- Telefon:
0505 532 36 38 - eMail: info@alestaweb.com
Sunucunuzda cPanel veya WHM kullanıyor musunuz? O zaman bu haberi acilen okumanız gerekiyor. CVE-2026-41940 olarak kayıtlı kritik güvenlik açığı (critical authentication bypass vulnerability), dünya genelinde 1.5 milyon cPanel sunucusunu doğrudan tehdit ediyor. Alesta Web olarak bu açığı ve nasıl kapatacağınızı adım adım anlatıyoruz.
CVE-2026-41940, cPanel & WHM yazılımında keşfedilen kimlik doğrulama atlama açığı (authentication bypass vulnerability). CVSS (Common Vulnerability Scoring System) skoru tam 9.8 üzerinden — bu, maksimuma çok yakın bir kritiklik seviyesi. Yani bu açık basit bir hata değil, tam anlamıyla felaket senaryosuna kapı açan türden bir güvenlik deliği.
Peki bu ne anlama geliyor? Şöyle düşünün: saldırgan cPanel'inize giriş yapan kullanıcı adı ve şifre bilmeden, hatta 2FA (iki faktörlü kimlik doğrulama) aktif olsa bile, direkt root yetkisiyle sisteme girebiliyor. Bir web hosting kontrol paneli için bu, mümkün olan en kötü senaryo.
CVE-2026-41940 CISA (ABD Siber Güvenlik Ajansı) tarafından KEV (Known Exploited Vulnerabilities) listesine alındı. Bu açık aktif olarak siber saldırılarda kullanılıyor (actively exploited in the wild). Sunucunuzu hemen yamalamazsanız ciddi risk altındasınız.
Alesta Web olarak hosting güvenliği konusunda yüzlerce müşteriye destek verdik. Bu açık şimdiye kadar gördüklerimizin en ciddilerinden biri. Geç kalmayın.
Teknik detayını basitçe açıklayalım. Bu güvenlik açığı bir CRLF injection saldırısına dayanıyor. CRLF nedir? Satır sonu karakterleri: Carriage Return (\r) ve Line Feed (\n). Kulağa masum geliyor, değil mi? Ama cPanel'in giriş ve oturum işleme sürecinde tam bir felakete dönüşüyor.
cpsrvd servisi bu dosyayı yeniden ayrıştırırken (re-parse), enjekte edilen satırları geçerli oturum girişleri olarak kabul ediyoruser=root, hasroot=1, tfa_verified=1 gibi kritik parametreler yer alıyorYani bu bir brute force (şifre kırmak) değil. Saldırgan sisteme şifreyi tahmin etmeye çalışmıyor bile. Direkt olarak kimlik doğrulama mekanizmasını tamamen atlıyor (completely bypassing authentication). Bu yüzden güçlü şifre veya 2FA bu saldırıya karşı hiçbir koruma sağlamıyor.
Bu açık Şubat 2026'dan beri (February 2026) hedefli zero-day saldırılarında kullanılıyor. Yani cPanel resmi yamayı yayınlamadan önce saldırganlar bu açığı biliyordu ve aktif olarak sömürüyordu. Buna "zero-day exploitation" deniyor.
Hangi sistemler risk altında? Alesta Web ekibi olarak araştırdığımıza göre, yama uygulanmamış tüm cPanel & WHM sürümleri bu açıktan etkileniyor. Basit bir Shodan sorgusu bile internete açık yaklaşık 1.5 milyon cPanel örneğinin (1.5 million cPanel instances) savunmasız olduğunu gösteriyor.
| Kapsam / Scope | Durum / Status |
|---|---|
| cPanel & WHM (yamasız / unpatched) | ❌ Savunmasız (Vulnerable) |
| cPanel & WHM (son sürüm / latest version) | ✅ Güvenli (Safe - patch applied) |
| İnternet'e açık cPanel örnekleri / exposed instances | ⚠️ ~1.5 Milyon risk altında |
| Nisan sonu itibarıyla ele geçirilen sunucu sayısı / compromised | ⚠️ 44.000+ |
Haziran 2026 itibarıyla 44.000'den fazla IP adresi ele geçirildi. Bu sayı hızla değişiyor ama şunu bilmeniz gerekiyor: her geçen gün yeni sunucular tehlikeye giriyor.
Bu açık sadece teorik değil. Güvenlik araştırmacıları ve CISA, gerçek saldırıları belgeledi. Saldırganlar CVE-2026-41940'ı başarıyla kullandıklarında şunları yapabiliyor:
Özellikle endişe verici olan şu: saldırganlar genellikle bu açığı, başka bir uzaktan erişim açığıyla birlikte kullanıyor. Önce VPN cihazı veya web uygulaması üzerinden sunucuya girerler, sonra CVE-2026-41940 ile root yetkisi kazanırlar. Ve sonra gerisi malum...
Belgelenen saldırılar ABD'deki düşünce kuruluşları (US think tanks), Avrupa'daki üretim şirketleri (European manufacturing companies) ve bulut hizmet sağlayıcılarını (cloud service providers) hedef aldı. Ama hiçbir cPanel sunucusu güvende değil.
Neyse ki cPanel bu açık için yama yayınladı (patch released). Alesta Web olarak önerdiğimiz adımları sırasıyla uygulayın:
WHM arayüzünden:
https://sunucuip:2087SSH üzerinden terminalde çalıştırın:
# cPanel güncelleme script'ini çalıştır / Run cPanel updater /scripts/upcp --force # Güncelleme tamamlanınca sürümü doğrula / Verify version after update /usr/local/cpanel/cpanel --version
# cpsrvd servisini yeniden başlat / Restart cpsrvd service /scripts/restartsrv_cpsrvd # Güvenlik duvarı kurallarını yenile / Refresh firewall rules /scripts/restartsrv_cpsrvd
Güncelleme sonrası cat /usr/local/cpanel/version komutunu çalıştırın. Yama içeren sürüm numarası görüntüleniyorsa güncelleme tamamlandı demektir. cPanel'in resmi blog'undan yamalı sürüm numarasını teyit edin.
Alesta Web ekibi olarak güncelleme yapmak tek başına yeterli değil diyoruz. Sunucunuzu daha güvenli hale getirmek için şu önlemleri de uygulayın:
# WHM > Security Center > Host Access Control # "cPanel/WHM Daemon (cpaneld)" # Allow: 1.2.3.4 (kendi IP'niz / your IP) # Deny: ALL
# Komercial WAF kuralları güncellemek için / Update WAF rules /scripts/restartsrv_apache # WHM > ModSecurity Configuration üzerinden OWASP CoreRuleSet güncelleyin
Herhangi bir açık exploit girişimi olup olmadığını kontrol etmek için /usr/local/cpanel/logs/access_log dosyasını inceleyin. Şüpheli CRLF karakterleri (\r\n) veya olağandışı oturum açma denemeleri varsa sunucunuz hedef alınmış olabilir (your server may have been targeted).
Bu makalede kullanılan bilgiler aşağıdaki güvenilir kaynaklardan alınmıştır (information from the following reliable sources):
CVE-2026-41940 yani cPanel authentication bypass güvenlik açığı, internetteki en kritik güvenlik tehditlerinden biri haline geldi. Alesta Web olarak net söylüyoruz: eğer yama uygulanmamış bir cPanel sunucunuz varsa, şu an tehlike altındasınız.
Hızlı Özet / Quick Summary:
Faydalı Linkler / Useful Links:
© 2026 AlestaWeb - Tüm hakları saklıdır.