[Security] CVE-2026-41940: cPanel 인증 우회 제로데이, 150만 서버를 2개월간 무방비로 뒀다
서론
2026년 4월 28일, 웹 호스팅 관리 패널 소프트웨어 cPanel & WHM에서 CVSS 9.8짜리 치명적 인증 우회 취약점이 공개됐다. CVE-2026-41940이다. 더 충격적인 건 타임라인이다. 이 취약점은 패치가 나오기 무려 두 달 전인 2026년 2월 23일부터 실제 공격에 악용되고 있었다. 진정한 의미의 제로데이였다.
cPanel은 수많은 공유 호스팅 서버를 관리하는 사실상 표준 패널이다. Shodan 기준 약 150만 개 인스턴스가 인터넷에 노출돼 있고, 각 인스턴스 위에는 수십에서 수백 개의 웹사이트가 올라가 있다. TechRadar는 이 취약점이 “수천만 개의 웹사이트를 위험에 빠뜨릴 수 있다”고 표현했고, WatchTowr Labs는 블로그 제목을 아예 “The Internet is Falling Down”으로 달았다.
CISA는 CVE-2026-41940을 KEV(Known Exploited Vulnerabilities) 목록에 등재했고, 연방 기관에는 2026년 5월 21일까지 패치 적용을 의무화했다. 일반 기업도 즉각 조치가 필요한 상황이다.
본론
cPanel & WHM이란, 왜 이렇게 중요한가
cPanel & WHM(Web Host Manager)은 공유 호스팅, VPS, 데디케이티드 서버를 관리하는 웹 기반 제어판이다. 웹 호스팅 제공업체가 고객에게 서버 자원(도메인, 이메일, 데이터베이스, FTP)을 관리할 수 있도록 UI를 제공한다. 전 세계 수많은 소·중형 웹사이트가 cPanel 기반 호스팅 서버 위에 올라가 있다.
WHM(Web Host Manager)은 서버 자체를 관리하는 관리자 패널로, root 또는 reseller 권한을 가진 관리자가 사용한다. 이번 취약점은 WHM 로그인 흐름에서 발생했고, 인증 없이 WHM에 접근하는 공격자는 사실상 서버 전체의 제어권을 얻게 된다.
Shodan 기준 약 650,000개의 IP가 cPanel/WHM 인터페이스를 외부에 공개하고 있으며, 잠재적으로 영향을 받는 인스턴스는 약 150만 개에 달한다.
취약점 원리: CRLF 인젝션으로 세션 파일을 조작하다
CVE-2026-41940은 cPanel/WHM의 로그인 및 세션 로딩 프로세스에서 발생하는 CRLF(Carriage Return Line Feed) 인젝션이다. CVSS 9.8(CRITICAL)을 받았으며, 인증 없는 원격 공격자가 관리자 권한을 획득할 수 있다.
공격 흐름을 단계별로 정리하면 다음과 같다.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
[1단계] 실제 세션 파일 생성
- 공격자가 의도적으로 잘못된 자격증명으로 로그인을 시도
- cPanel은 /var/cpanel/sessions/raw/<rand> 경로에 세션 파일을 생성
[2단계] CRLF 인젝션으로 세션 파일 조작
- Basic Authorization 헤더의 password 필드에
CRLF(\r\n) 시퀀스를 포함시킨 악성 요청을 전송
- 형식: password=<정상값>\r\nuser=root\r\ntoken_denied=1
[3단계] 세션 파일에 임의 속성 기록
- cPanel의 세션 라이터가 CRLF를 필터링하지 않아
\r\n 이후의 문자열(user=root)이 세션 파일에 삽입됨
[4단계] 쿠키 조작으로 암호화 우회
- whostmgrsession 쿠키의 특정 세그먼트를 누락시키면
cPanel이 암호화 과정을 건너뜀
- 결과적으로 user=root가 담긴 세션이 유효하게 로드됨
[5단계] WHM 관리자 권한 획득
- cPanel이 세션에 있는 user=root를 신뢰하여
공격자에게 root 수준 WHM 접근 권한 부여
핵심 원인은 세션 라이터가 사용자 입력 중 CRLF를 제거하지 않은 것과, whostmgrsession 쿠키의 특정 구성 요소가 없을 때 암호화 로직을 우회하는 버그의 조합이다.
Picus Security는 이 공격이 “세션 라이터 CRLF 인젝션, 암호화 생략 트리거, cPanel 세션 캐시 퀴크를 연쇄시킨 체이닝 익스플로잇”이라고 분석했다.
익스플로잇 타임라인: 2개월의 제로데이 기간
이 취약점이 특히 충격적인 이유는 패치 전 악용 기간이다.
| 날짜 | 사건 |
|---|---|
| 2026년 2월 23일경 | 호스팅 업체 KnownHost가 최초 악용 징후 탐지 |
| 2026년 2월~4월 | 공식 패치 없는 상태로 제로데이 공격 지속 |
| 2026년 4월 28일 | cPanel 긴급 패치 배포 및 공개 공시 |
| 2026년 4월 29일~ | CISA, KEV 목록 등재 / Shadowserver Foundation 모니터링 시작 |
| 2026년 5월 21일 | 연방 기관 패치 의무 적용 기한 |
약 2개월간 공식 패치 없이 악용이 이어졌다. 이 기간 동안 얼마나 많은 서버가 실제로 침해됐는지는 공식적으로 공개되지 않았다.
실제 피해 규모와 탐지 현황
Shadowserver Foundation에 따르면 공개 직후 44,000개의 고유 IP가 스캐닝, 익스플로잇 시도, 브루트포스 공격 등의 형태로 cPanel 취약점을 대상으로 활동 중이다. 현재 약 650,000개의 IP가 cPanel/WHM 인터페이스를 인터넷에 노출하고 있는 것으로 파악된다.
CVE-2026-41940을 성공적으로 악용한 공격자는 다음을 할 수 있다.
- WHM에 root로 접근해 서버 전체 장악
- 서버에서 호스팅되는 모든 웹사이트의 파일, 데이터베이스, 이메일 열람·수정·삭제
- 악성코드 배포, 백도어 설치, 랜섬웨어 배포
- 사이트를 통한 방문자 악성코드 감염 (water hole attack)
- 이메일 서버를 통한 스팸·피싱 캠페인
호스팅 제공업체 입장에서는 단 하나의 cPanel 서버가 뚫리면 그 위에 올라간 수백 개 고객사 사이트가 모두 위험에 처하는 구조다.
영향 범위: 어떤 버전이 해당되나
WebPros cPanel & WHM의 버전 11.40 이후 출시된 모든 지원 버전이 영향을 받는다. 사실상 현재 운영 중인 거의 모든 cPanel 서버가 해당된다고 봐도 무방하다. WP Squared(WordPress Squared, cPanel 기반의 워드프레스 전용 호스팅 관리 패널)도 동일한 취약점의 영향을 받는다.
대응 방법
즉시 조치 사항:
1
2
3
4
5
6
7
# cPanel 버전 확인
/usr/local/cpanel/cpanel -V
# 업데이트 실행 (cPanel 서버)
/scripts/upcp --force
# 또는 WHM > Upgrade to Latest Version에서 수동 업데이트
- cPanel & WHM을 최신 버전(2026년 4월 28일 이후 패치)으로 즉시 업그레이드
- WHM 접근 포트(기본 2087)를 방화벽으로 신뢰 IP만 허용하도록 제한
- 최근 로그인 기록을 검토해 비정상 접근 여부 확인
/var/cpanel/sessions/raw/디렉토리에서 비정상 세션 파일 점검- Web Application Firewall(WAF) 룰 업데이트 (CRLF 패턴 차단)
보안 커뮤니티 반응
WatchTowr Labs는 이 취약점의 영향 범위를 두고 “The Internet is Falling Down”이라는 자극적인 제목으로 블로그를 게시해 주목받았다. 보안 연구자들 사이에서는 이번 취약점이 “복잡한 체이닝 없이도 인터넷에서 찾아볼 수 있는 관리 패널에 바로 root 접근이 가능하다”는 점에서 특히 위험성을 높이 평가한다.
CISA의 KEV 목록 등재는 미 연방 기관에 대한 의무 조치를 넘어, 민간 부문에서도 해당 취약점을 즉각 대응이 필요한 최우선 위협으로 인식하는 신호가 된다.
SC Media와 Arctic Wolf는 “지금 당장 패치를 적용하지 않은 cPanel 서버는 공격자의 표적이 될 가능성이 매우 높다”며 즉각 대응을 촉구했다.
정리
- CVE-2026-41940은 cPanel/WHM의 CRLF 인젝션 기반 인증 우회 취약점으로 CVSS 9.8을 기록했다.
whostmgrsession쿠키 조작과 Basic Auth 헤더 CRLF 인젝션을 연쇄해 세션 파일에user=root를 삽입하는 방식으로 작동한다.- 패치 전 약 2개월간 제로데이 상태로 악용됐으며, Shodan 기준 약 150만 개 인스턴스가 영향권에 있다.
- CISA KEV 등재, 연방 기관 5월 21일 패치 의무 기한.
- cPanel 서버 운영자라면 즉각 최신 버전으로 업그레이드하고, WHM 포트를 신뢰 IP로만 제한해야 한다.
- CRLF 인젝션은 오래된 기법이지만 여전히 치명적 결과를 낼 수 있다. 입력값 정규화와 세션 처리 로직의 방어적 설계가 얼마나 중요한지 다시 한번 상기시켜준 사례다.
Reference
- CyberScoop - cPanel authentication bypass bug exploited in the wild, CISA warns
- Help Net Security - cPanel zero-day exploited for months before patch (2026/04/30)
- Picus Security - CVE-2026-41940 Explained: cPanel & WHM Authentication Bypass That Hit 1.5M Servers
- Rapid7 - ETR: CVE-2026-41940 cPanel & WHM Authentication Bypass
- NVD - CVE-2026-41940 Detail
- WatchTowr Labs - The Internet is Falling Down: cPanel & WHM Authentication Bypass CVE-2026-41940
- The Hacker News - Critical cPanel Authentication Vulnerability Identified