ハニーポットで cPanel / WHM CVE-2026-41940 関連の攻撃試行を観測した

Last updated at 2026-05-10Posted at 2026-05-09

はじめに

個人で運用しているハニーポット (T-Pot) のログを確認していたところ、cPanel / WHM の管理系ポートに対して、/login/?login_only=1 へ POST する HTTP リクエストを観測しました。

このエンドポイントは、cPanel / WHM の認証バイパス脆弱性である CVE-2026-41940 の公開分析で説明されている攻撃フローの初期段階と一致しそうです。

参考：cPanel公式
Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026

本記事では、T-Pot で取得した Suricata HTTP ログをもとに、観測できた内容を整理します。

免責：本記事は防御・調査目的での観測記録です。
第三者環境へのスキャンや攻撃を意図するものではありません。
また、今回の T-Pot ログから確認できるのは攻撃試行・探索段階までであり、実際の侵害成功を示すものではありません。

結論

T-Pot 上で、cPanel / WHM の管理系ポートである 2082 / 2086 / 2087 に対する HTTP アクセスを観測しました。

特に、以下のリクエストが複数回確認されています。

POST /login/?login_only=1

このリクエストは、CVE-2026-41940 の公開分析で説明されている攻撃フローの初期段階と一致します。

一方で、今回のログでは以下のような後続痕跡は確認できませんでした。

whostmgrsession
Authorization
cp_security_token
token_denied
tfa_verified
successful_external_auth_with_timestamp
successful_internal_auth_with_timestamp
origin_as_string

そのため、今回の観測結果は、「CVE-2026-41940 の悪用成功を確認した」ではなく、「CVE-2026-41940 の既知攻撃フローと整合する初期アクセス試行を観測した」 ということに留まります。

環境

今回の観測環境は以下の通りです。

項目	内容
観測基盤	T-Pot
ログ種別	Suricata HTTP event
確認方法	Kibana Discover
対象期間	2026年5月6日〜5月7日
主な確認対象	cPanel / WHM 関連ポート、HTTP URL、送信元IP、User-Agent

cPanel公式ドキュメントでは、API呼び出しに利用するポートとして以下が整理されています。

参考：cPanel API Authentication
Guide to API Authentication

ポート	用途
2082	cPanel API / 非暗号化
2083	cPanel API / 暗号化
2086	WHM API / 非暗号化
2087	WHM API / 暗号化
2095	Webmail session / 非暗号化
2096	Webmail session / 暗号化

今回のログでは、このうち 2082 / 2086 / 2087 に対するアクセスを確認しました。

調査に使ったKQL

まず、cPanel / WHM / Webmail 系ポートへの HTTP アクセスを確認しました。

type: "Suricata"
AND event_type: "http"
AND
(
  dest_port: 2082 OR dest_port: 2083 OR dest_port: 2086 OR
  dest_port: 2087 OR dest_port: 2095 OR dest_port: 2096
)
AND
(
  http.url.keyword: "/login/"
  OR http.url.keyword: "/login/?login_only=1"
  OR http.url.keyword: "/cpsess"
  OR http.url.keyword: "/whostmgr"
  OR http.url.keyword: "/webmail"
)

その結果、以下の3件がヒットしました。

時刻	送信元IP	推定国	宛先ポート	HTTPメソッド	URL
2026/05/06 17:19:12	213.209.159.xxx	Taiwan	2082	POST	`/login/?login_only=1`
2026/05/06 17:31:25	78.159.131.xxx	Bulgaria	2087	POST	`/login/?login_only=1`
2026/05/06 17:31:32	78.159.131.xxx	Bulgaria	2086	POST	`/login/?login_only=1`

次に、該当2 IP の前後の挙動を確認しました。

type: "Suricata"
AND event_type: "http"
AND
(
  src_ip: "78.159.131.xxx"
  OR src_ip: "213.209.159.xxx"
)

その結果、合計8件の HTTP イベントを確認しました。

観測結果

1. `213.209.159.xxx`

この送信元IPは、まず 2082/tcp に対して / へ GET し、その後 /login/?login_only=1 に POST していました。

時刻	宛先ポート	メソッド	URL	User-Agent
2026/05/06 17:18:59	2082	GET	`/`	`python-requests/2.32.5`
2026/05/06 17:19:12	2082	POST	`/login/?login_only=1`	`Mozilla/5.0 ...`
2026/05/07 04:08:44	2082	GET	`/`	`python-requests/2.32.5`
2026/05/07 04:08:45	2082	GET	`/`	`python-requests/2.32.5`

単純なポートスキャンだけであれば、TCP接続やトップページへの GET のみで終わるかと思いますが、今回は cPanel API 用ポートである 2082 に対して / を確認した後、/login/?login_only=1 に POST している点が特徴的です。

2. `78.159.131.xxx`

こちらは、2086 / 2087 の WHM 系ポートに対して、/login/?login_only=1 と /openid_connect/cpanelid の両方へアクセスしていました。

時刻	宛先ポート	メソッド	URL	User-Agent
2026/05/06 17:31:25	2087	POST	`/login/?login_only=1`	`Mozilla/5.0 ...`
2026/05/06 17:31:28	2086	GET	`/openid_connect/cpanelid`	`python-requests/2.32.5`
2026/05/06 17:31:30	2087	GET	`/openid_connect/cpanelid`	`python-requests/2.32.5`
2026/05/06 17:31:32	2086	POST	`/login/?login_only=1`	`Mozilla/5.0 ...`

2086 / 2087 は WHM 系のポートです。

また、/openid_connect/cpanelid はランダムなパスではなく、cPanelID / 外部認証系のエンドポイントと見られます。

そのため、この送信元IPは、単にポートが開いているかを確認しただけではなく、cPanel / WHM の認証周辺エンドポイントを探索していた可能性があります。

CVE-2026-41940 との関連性

CVE-2026-41940 は、cPanel / WHM の認証バイパス脆弱性です。

cPanel公式は本脆弱性について、cPanel software、DNSOnly を含む 11.40 以降のバージョンに影響する authentication bypass と説明し、修正済みバージョンへの更新を案内しています。

Cato Networks の公開分析では、CVE-2026-41940 の攻撃フローについて、以下のような流れが説明されています。

攻撃者が /login/?login_only=1 にログイン試行を行う
認証は失敗するが、pre-authenticated session と whostmgrsession cookie が返る
攻撃者が Cookie header でセッション識別子を再利用する
Authorization header などを利用して、サーバー側セッションファイルに認証関連属性を書き込ませる
後続リクエストでセッションが再読込され、認証バイパスにつながる可能性がある
参考：Cato Networks
Threat Brief: CVE-2026-41940: Critical cPanel & WHM Authentication Bypass Actively Exploited in the Wild

今回の T-Pot ログで確認できたのは、このうち 最初の入口部分にあたる /login/?login_only=1 への POST です。

一方で、攻撃フロー後段にあたる以下の痕跡は確認できませんでした。

確認項目	結果
cPanel / WHM 系ポートへのアクセス	確認
`/login/?login_only=1` へのPOST	確認
`/openid_connect/cpanelid` へのアクセス	一部確認
`whostmgrsession` Cookie	未確認
`Authorization` header	未確認
`cp_security_token`	未確認
`token_denied`	未確認
`origin_as_string`	未確認
`successful_external_auth_with_timestamp`	未確認
`successful_internal_auth_with_timestamp`	未確認
認証バイパス成功	確認不可

追加確認

後続段階の痕跡があるかを確認するため、以下のようなKQLでも検索しました。

type: "Suricata"
AND event_type: "http"
AND
(
  src_ip: "78.159.131.56"
  OR src_ip: "213.209.159.185"
)
AND
(
  "whostmgrsession"
  OR "Authorization"
  OR "cp_security_token"
  OR "token_denied"
  OR "tfa_verified"
  OR "successful_external_auth_with_timestamp"
  OR "successful_internal_auth_with_timestamp"
  OR "origin_as_string"
)

また、Suricata HTTP イベント以外も含めて、同様の文字列がないか確認しました。

(
  src_ip: "78.159.131.56"
  OR src_ip: "213.209.159.185"
)
AND
(
  "whostmgrsession"
  OR "Authorization"
  OR "cp_security_token"
  OR "token_denied"
  OR "tfa_verified"
  OR "successful_external_auth_with_timestamp"
  OR "successful_internal_auth_with_timestamp"
  OR "origin_as_string"
)

しかし、これらの検索では該当イベントは確認できませんでした。

考察

今回の観測は CVE-2026-41940 の完全な exploit chain をハニーポット上で確認したものではありません。

しかし、以下の点から cPanel / WHM の認証処理を狙った探索または攻撃試行である可能性は高いと考えます。

宛先ポートが cPanel / WHM の管理系ポートである
/login/?login_only=1 への POST が複数回確認されている
一部の送信元では /openid_connect/cpanelid にもアクセスしている
User-Agent に python-requests/2.32.5 が含まれており、自動化スクリプトによる確認と見られる通信がある

特に 78.159.131.xxx は 2086 / 2087 の両方に対して、/login/?login_only=1 と /openid_connect/cpanelid へ短時間にアクセスしています。

これは単なるポートスキャンというより、cPanel / WHM の認証周辺エンドポイントを探索している挙動と見る方がよさそうです。

防御側としての学び

今回のような観測を見ると、cPanel / WHM を利用している環境においては、以下を確認すべきだと考えます。

自組織または管理対象サーバーで cPanel / WHM を利用しているか
2082 / 2083 / 2086 / 2087 / 2095 / 2096 がインターネットに公開されていないか
cPanel公式が案内する修正済みバージョンへ更新されているか
更新後に cpsrvd を再起動しているか
cPanel公式が案内する検出スクリプトや /var/cpanel/sessions の確認を実施したか

cPanel公式アドバイザリでは、修正済みバージョンへの更新、/scripts/upcp --force による更新、バージョン確認、cpsrvd の再起動などが案内されています。

参考：cPanel公式
Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026

特に、管理系ポートがインターネットに広く公開されている場合、脆弱性公開後に自動化された探索や攻撃試行を受ける可能性があります。

cPanel / WHM を利用している場合は、パッチ適用だけでなく、管理ポートのアクセス制限も併せて確認することが重要そうです。

感想

ハニーポットを運用し始めて間もないのですが、公開されたばかりの脆弱性に対し、どのような探索や攻撃試行が届くのかを観測できるのは良いですね。

今回のように単なるポートスキャンだけでなく、特定の脆弱性や攻撃フローに関連するエンドポイントへのアクセスが確認できると、脅威インテリジェンスの材料としても活用しやすいと感じました。

今回の件は事業会社の自社のIT基盤には直接関係しなくとも、外部公開Webサイトなどを外部ホスティングサービスや保守ベンダに委託している場合、その裏側で実は cPanel / WHM が利用されていた、みたいなケースがありそう…

参考

cPanel
Security: CVE-2026-41940 - cPanel & WHM / WP2 Security Update 04/28/2026
cPanel API Documentation
Guide to API Authentication
Cato Networks
Threat Brief: CVE-2026-41940: Critical cPanel & WHM Authentication Bypass Actively Exploited in the Wild
NVD
CVE-2026-41940 Detail

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up