Một cuộc tấn công quy mô lớn đang diễn ra ngay trước mắt chúng ta. Hacker mang tên Mr_Rot13 đang khai thác lỗ hổng bảo mật nghiêm trọng trên cPanel để cài đặt backdoor vào hàng nghìn website trên toàn cầu. Lỗ hổng CVE-2026-41940 này cho phép bỏ qua hoàn toàn hệ thống xác thực, biến kẻ tấn công thành "chủ nhà" của server hosting. Đây là một trong những cuộc tấn công nguy hiểm nhất nhắm vào hạ tầng web hosting năm 2024.

Cuộc săn lùng của Mr_Rot13 trên không gian mạng

CVE-2026-41940 là mã định danh lỗ hổng bảo mật quốc tế được gán cho lỗ hổng nghiêm trọng trong cPanel và WebHost Manager (WHM). cPanel là hệ thống quản lý hosting phổ biến nhất thế giới, được sử dụng bởi hàng triệu website. Lỗ hổng này cho phép kẻ tấn công bypass (bỏ qua) hoàn toàn cơ chế xác thực mà không cần username hay password.

Theo phân tích của chúng tôi, Mr_Rot13 đã chủ động tìm kiếm các server cPanel chưa được vá lỗi trên internet. Sau khi xâm nhập thành công, hacker này triển khai backdoor mang tên "Filemanager" - một công cụ cho phép kiểm soát hoàn toàn hệ thống từ xa. Đây không phải cuộc tấn công ngẫu nhiên mà là chiến dịch có tổ chức với mục tiêu rõ ràng.

Kỹ thuật tấn công tinh vi đáng báo động

Lỗ hổng CVE-2026-41940 thuộc loại authentication bypass (bỏ qua xác thực), cho phép kẻ tấn công truy cập vào bảng điều khiển cPanel với quyền administrator mà không cần thông tin đăng nhập. Đây là loại lỗ hổng được đánh giá mức độ nghiêm trọng "Critical" - cao nhất trên thang đo CVSS (Common Vulnerability Scoring System).

Backdoor Filemanager được Mr_Rot13 sử dụng có khả năng thực hiện nhiều hành động nguy hiểm. Nó có thể upload/download file tùy ý, chỉnh sửa code website, đánh cắp database, cài đặt webshell để duy trì quyền truy cập lâu dài. Chúng tôi đánh giá đây là một trong những backdoor tinh vi nhất từng xuất hiện nhắm vào hệ sinh thái cPanel.

Tác động nghiêm trọng đến cộng đồng mạng Việt Nam

Theo thống kê từ BuiltWith, có khoảng 70% website tại Việt Nam sử dụng hosting với cPanel/WHM. Con số này tương đương hàng triệu website đang tiềm ẩn nguy cơ bị tấn công nếu nhà cung cấp hosting không kịp thời cập nhật bản vá. Các website thương mại điện tử, doanh nghiệp vừa và nhỏ sử dụng shared hosting là đối tượng dễ bị tổn thương nhất.

Nếu bị Mr_Rot13 tấn công thành công, website có thể bị cài đặt mã độc, redirect người dùng đến trang lừa đảo, hoặc trở thành botnet phục vụ các cuộc tấn công khác. Dữ liệu khách hàng, thông tin thanh toán cũng có thể bị đánh cắp mà chủ website không hề biết. Đây là mối đe dọa trực tiếp đến sự phát triển của thương mại điện tử Việt Nam.

Hành động khẩn cấp để bảo vệ website

Chủ website cần liên hệ ngay lập tức với nhà cung cấp hosting để xác nhận đã cập nhật bản vá cho CVE-2026-41940. Nếu sử dụng VPS/Dedicated server tự quản lý, hãy truy cập WHM và cập nhật cPanel lên phiên bản mới nhất. Kiểm tra log truy cập tìm các hoạt động bất thường, đặc biệt các request đến đường dẫn /filemanager hoặc /cpsess.

Chúng tôi khuyến nghị kích hoạt two-factor authentication (xác thực hai yếu tố) cho tài khoản cPanel, thay đổi password mạnh cho tất cả tài khoản quản trị. Backup dữ liệu website ngay lập tức và lưu trữ offline để phòng trường hợp xấu nhất. Cài đặt các công cụ monitoring để phát hiện sớm hoạt động bất thường trên website. Thời gian vàng để bảo vệ chỉ còn rất ít trước khi cuộc tấn công lan rộng.