Hampir seminggu setelah para pembuat perangkat lunak manajemen server web populer, cPanel dan WebHost Manager (WHM), memberi tahu pengguna tentang celah kritis dalam perangkat lunak mereka, hacker masih terus menargetkan ribuan situs web yang memakai perangkat lunak rentan ini.
Per hari Senin, ada lebih dari 550.000 server yang berpotensi rentan menjalankan cPanel, jumlah ini telah stabil selama beberapa hari. Kini sekitar 2.000 instance cPanel yang kemungkinan sudah mengalami kompromi, turun dari sekitar 44.000 pada hari Kamis. Statistik ini dipublikasikan oleh Shadowserver, sebuah organisasi nirlaba yang memindai dan memantau internet untuk serangan siber.
Pada hari Kamis, para peneliti keamanan memperingatkan bahwa hacker mulai mengambil alih server yang menjalankan cPanel dan WHM, memanfaatkan bug yang memungkinkan penyerang mengambil kontrol penuh dan membajak server yang rentan melalui panel kontrol mereka.
Sesuai laporan dari Bleeping Computer, dampak dari serangan ini terlihat jelas, mengingat Google telah mengindeks puluhan situs web yang pada satu titik menunjukkan pesan dari sekelompok hacker yang mengklaim telah mengenkripsi file korban dalam serangan ransomware yang jelas. Beberapa situs tersebut kini bisa dimuat dengan normal.
Catatan tebusan yang ditinggalkan mencakup ID obrolan untuk korban agar dapat menghubungi para hacker, yang belum memberikan tanggapan saat dihubungi untuk komentar.
Cybersecurity and Infrastructure Security Agency (CISA) AS memperingatkan pada hari Kamis bahwa celah ini — yang dilacak sebagai CVE-2026-41940 — sedang dieksploitasi di lapangan, dan telah ditambahkan ke katalog Dikenal Eksploitasi Kerentanan (KEV). CISA meminta kepada lembaga pemerintah untuk melakukan patch sebelum hari Minggu. Namun, CISA belum memberikan tanggapan mengenai permintaan konfirmasi apakah lembaga pemerintah sudah melakukan patch pada server mereka.
Serangan terhadap server web yang menjalankan cPanel dan WHM kemungkinan sudah berlangsung jauh sebelum kerentanan ini dipublikasikan. Menurut Daniel Pearson, CEO KnownHost, perusahaannya sudah mendeteksi serangan sejak 23 Februari.
Para eksekutif di Webpros, perusahaan yang mengembangkan cPanel dan WHM serta mengklaim mengelola 60 juta domain, belum memberikan tanggapan atas permintaan komentar.
