Banda Aceh-CSIRT mengimbau pengelola sistem elektronik di lingkungan Pemerintah Kota Banda Aceh untuk segera menindaklanjuti kerentanan kritis pada panel kontrol hosting cPanel & WHM yang teridentifikasi sebagai CVE-2026-41940. Kerentanan ini memperoleh skor CVSS 9.8 (Critical) dan telah dikonfirmasi sedang dieksploitasi secara aktif di internet.
Yang membuat kerentanan ini menonjol bukan hanya skornya, melainkan fakta bahwa celah ini telah dimanfaatkan sebagai serangan zero-day bahkan sebelum perbaikan tersedia, dengan sebagian sasaran berupa domain instansi pemerintah serta penyedia layanan hosting.
Ikhtisar
CVE-2026-41940 merupakan kerentanan authentication bypass (pelewatan otentikasi) yang memengaruhi seluruh versi cPanel & WHM yang masih didukung. Celah ini bersumber dari penanganan sesi yang tidak memvalidasi masukan dengan benar, sehingga memungkinkan serangan CRLF injection.
Dengan memanfaatkan celah ini, penyerang dari jarak jauh dapat melewati proses verifikasi kata sandi dan memperoleh akses administratif ke WHM tanpa kredensial yang sah. Akses tersebut dapat dikembangkan hingga eksekusi kode jarak jauh pada server.
Dampak
cPanel & WHM mengelola konfigurasi situs, akun surel, basis data, dan berkas pada server hosting. Penguasaan WHM oleh pihak tidak sah dapat mengakibatkan:
- Pengambilalihan seluruh akun dan situs yang berada di server.
- Pencurian data pelanggan maupun data internal instansi.
- Penyisipan halaman palsu, backdoor, atau perangkat lunak berbahaya.
- Pemanfaatan server sebagai infrastruktur untuk serangan lanjutan.
Berdasarkan laporan publik, kerentanan ini berdampak pada lebih dari 70 juta domain yang dikelola melalui cPanel di seluruh dunia.
Eksploitasi di Lapangan
cPanel merilis perbaikan resmi pada 28 April 2026 dan menyebarkannya melalui mekanisme pembaruan otomatis. Penyelidikan keamanan mengungkap bahwa celah ini telah dieksploitasi sebagai kerentanan zero-day jauh sebelum perbaikan tersedia. Setelah rincian teknis dan kode proof-of-concept beredar luas, pemindaian serta serangan otomatis terhadap server cPanel meningkat tajam.
Sasaran serangan mencakup domain pemerintah dan militer di Asia Tenggara, serta penyedia layanan terkelola dan hosting di sejumlah negara. Pada server yang berhasil dikuasai, penyerang dilaporkan memasang kerangka kerja command-and-control, perangkat akses jaringan persisten, varian botnet, hingga ransomware.
Sistem yang Terdampak
Seluruh versi cPanel & WHM yang masih didukung terdampak. Berikut versi perbaikan untuk masing-masing jalur rilis:
| Jalur Rilis | Versi Perbaikan |
|---|---|
| 11.110.0.x | 11.110.0.97 |
| 11.118.0.x | 11.118.0.63 |
| 11.126.0.x | 11.126.0.54 |
| 11.132.0.x | 11.132.0.29 |
| 11.134.0.x | 11.134.0.20 |
| 11.136.0.x | 11.136.0.5 |
Detail Teknis
Celah ini berakar pada fungsi penyimpanan sesi (saveSession) yang tidak melakukan validasi memadai pada proses pemuatan dan penyimpanan sesi. Penyerang mengirimkan permintaan HTTP Basic Authentication dengan kata sandi yang disisipi karakter carriage return dan line feed (\r\n), sekaligus menghilangkan kunci enkripsi sesi dari cookie.
Akibatnya, konten sisipan tersebut tersimpan tanpa encoding ke dalam berkas sesi di server. Ketika permintaan berikutnya dikirim tanpa security token, server membaca ulang berkas sesi mentah dan mempromosikan field sisipan—khususnya penanda otentikasi berhasil—menjadi properti sesi tingkat atas. Dengan demikian, pemeriksaan kata sandi pada tahap selanjutnya berhasil dilewati.
Rekomendasi
- Segera lakukan pembaruan. Tingkatkan cPanel & WHM ke versi perbaikan sesuai jalur rilis pada tabel di atas. Server yang menggunakan pembaruan otomatis umumnya telah menerima perbaikan, namun tetap perlu diverifikasi.
- Periksa indikasi kompromi. Jalankan skrip deteksi resmi dari cPanel dan telusuri log otentikasi WHM untuk aktivitas mencurigakan, terutama sebelum tanggal pemasangan perbaikan.
- Batasi akses WHM/cPanel. Terapkan pembatasan alamat IP pada antarmuka administrasi dan aktifkan otentikasi dua faktor.
- Audit akun dan kredensial. Tinjau akun yang ada, hapus akun yang tidak dikenal, dan lakukan penggantian kata sandi apabila ditemukan indikasi kompromi.
- Lakukan pemantauan. Aktifkan pencatatan dan pemantauan untuk mendeteksi pola pemindaian maupun upaya brute-force.
Perangkat Daerah atau pengelola sistem yang mengindikasikan adanya kompromi pada server cPanel dapat segera menghubungi Banda Aceh-CSIRT melalui kanal pelaporan resmi untuk pendampingan penanganan.
Referensi
- NVD — CVE-2026-41940
- cPanel — Pengumuman Keamanan