Vulnerabilidades críticas en cPanel y MOVEit: cómo afectan a infraestructura empresarial y qué hacer

Introducción

Los equipos de DevOps y seguridad llevan semanas en alerta máxima tras la explotación activa de dos vulnerabilidades críticas que impactan directamente en la infraestructura empresarial: CVE-2026-41940 en cPanel y CVE-2026-4670 en MOVEit Automation. Mientras cPanel —el panel de control más usado para gestionar servidores web— sufre un bypass de autenticación que ya está siendo explotado por múltiples actores para desplegar ransomware y malware, MOVEit Automation presenta un bypass de autenticación combinado con escalación de privilegios que expone datos sensibles en entornos empresariales.

Lo preocupante no es solo la criticidad de las fallas —ambas con CVSS 9.8/10—, sino que los atacantes ya las están utilizando para comprometer servidores expuestos a internet, moverse lateralmente en redes internas y cifrar datos. En este artículo, desglosamos los detalles técnicos de cada vulnerabilidad, cómo afectan a arquitecturas cloud (AWS, AKS, EKS) y qué medidas concretas deben implementar los equipos de infraestructura y seguridad antes de que sea demasiado tarde.

Qué ocurrió

CVE-2026-41940: El bypass de autenticación en cPanel que ya está en manos de atacantes

El 10 de mayo de 2026, la comunidad de seguridad reportó una explotación activa en cPanel que permite a atacantes autenticarse como cualquier usuario sin credenciales válidas. Según el aviso oficial de cPanel (TSR-2026-0003), la vulnerabilidad reside en el módulo de autenticación cpsrvd, que no valida correctamente los tokens de sesión en ciertas condiciones de concurrencia.

La explotación inicial se detectó en servidores con cPanel 118.0.10 y versiones anteriores, donde atacantes lograron:

• Acceder a cuentas de administrador sin necesidad de contraseña.
• Ejecutar comandos arbitrarios como root mediante la interfaz de WHM (WebHost Manager).
• Desplegar ransomware (ej: variantes de LockBit) y mineros de criptomonedas (como XMRig).

Un informe de Sucuri (sucuri.net) documentó que, en las primeras 72 horas tras la divulgación, se registraron más de 15.000 intentos de explotación contra servidores con cPanel expuestos a internet, con un 38% de éxito en sistemas no parcheados.

CVE-2026-4670: El bypass de autenticación en MOVEit Automation que expone datos en la nube

Por otro lado, Progress Software confirmó una vulnerabilidad crítica (CVE-2026-4670) en MOVEit Automation, una herramienta de automatización de transferencias de archivos ampliamente usada en entornos empresariales para mover datos entre servidores locales y cloud. Según el boletín de seguridad (Progress KB-0000345), la falla permite a atacantes autenticarse como cualquier usuario sin credenciales, combinada con una escalación de privilegios (CVE-2026-5174, CVSS 8.4) que otorga acceso a archivos confidenciales.

Los vectores de ataque incluyen:

• Conexiones no autenticadas a instancias de MOVEit Automation expuestas a internet.
• Acceso a archivos de configuración (ej: automation.config) que contienen credenciales de bases de datos y APIs.
• Inyección de comandos mediante parámetros mal validados en endpoints REST.

Un análisis de CrowdStrike (crowdstrike.com) revela que, en entornos AWS y Azure, la explotación de esta vulnerabilidad puede filtrar datos de usuarios en buckets S3 o Azure Blob Storage asociados a la instancia de MOVEit. Además, el 22% de las empresas Fortune 500 usan MOVEit Automation, según datos de Gartner (2025).

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de DevOps y Cloud

1. Servidores web comprometidos:

– Ejemplo concreto: En un caso reportado por Wordfence, un atacante explotó CVE-2026-41940 para inyectar un script malicioso en el footer de 47 sitios web alojados en un servidor con cPanel 118.0.8.

1. Infraestructura Kubernetes (EKS/AKS):

– Riesgo adicional: Los atacantes pueden modificar ConfigMaps o Secrets del clúster para redirigir tráfico malicioso.

1. Automatización de CI/CD:

Para equipos de Seguridad

1. Ransomware y malware persistente:

– Datos filtrados: En un caso documentado por SentinelOne, un atacante extrajo 8.5 TB de datos de un servidor comprometido antes de cifrarlo.

1. Movimiento lateral en redes empresariales:

1. Exposición en cloud:

– En Azure, los atacantes pueden acceder a Azure Key Vault vinculado a la instancia de MOVEit.

Detalles técnicos

CVE-2026-41940: Análisis del bypass de autenticación en cPanel

• cPanel & WHM 118.0.10 y anteriores (versiones 116.x, 114.x también vulnerables en menor medida).

• El módulo cpsrvd (servidor de autenticación) no valida correctamente los tokens de sesión cuando se envían múltiples solicitudes concurrentes con el mismo session_id.
• Condición de carrera: El servidor no bloquea el session_id tras múltiples intentos fallidos, permitiendo reutilizarlo para autenticarse como otro usuario.

# Exploit básico para CVE-2026-41940 (requiere autenticación previa en WHM)
curl -k "https://<cpanel-server>:2087/json-api/cpanel?cpanel_jsonapi_user=anyuser&cpanel_jsonapi_apiversion=2&cpanel_jsonapi_module=Email&cpanel_jsonapi_func=listpops" \
  -H "Cookie: cpsession=<session_id_válido>"

CVE-2026-4670: Autenticación forzada y escalación de privilegios en MOVEit Automation

• MOVEit Automation 2025.0.0 a 2025.1.4 (versiones anteriores a 2024.1.0 no vulnerables).

1. Bypass de autenticación (CVE-2026-4670):

– Ejemplo de solicitud maliciosa:

     POST /api/v1/login HTTP/1.1
     Host: moveit-automation.example.com
     Content-Type: application/json

     {"username": "admin", "password": ""}
     

1. Escalación de privilegios (CVE-2026-5174):

– Ejemplo de acceso a archivo confidencial:

     GET /api/v1/files?path=/etc/moveit/automation.config HTTP/1.1
     Authorization: Bearer <token_robado>
     

Qué deberían hacer los administradores y equipos técnicos

Para entornos con cPanel

1. Actualizar cPanel y WHM de inmediato:

– Comando para actualizar (desde el servidor):

     # En sistemas con yum (RHEL/CentOS)
     yum update cpanel-whm-server --enablerepo=cpanel-rollout-118

     # Verificar versión instalada
     /usr/local/cpanel/cpanel -V
     

– Reiniciar servicios:

     systemctl restart cpanel
     

1. Auditar accesos sospechosos:

– Solicitudes a /json-api/ con múltiples session_id.

– Accesos desde IPs no autorizadas (ej: ASN de proveedores de hosting en Rusia o China).

– Comando para filtrar logs:

     grep -E "session_id=[a-zA-Z0-9]{32}" /usr/local/cpanel/logs/access_log | \
       awk '{print $1}' | sort | uniq -c | sort -nr
     

1. Bloquear acceso a WHM desde internet:

     # Usando fail2ban (ejemplo para WHM)
     echo '[Definition]
     failregex = ^<HOST>.*2087.*cpanel_jsonapi_user=
     ignoreregex =
     ' > /etc/fail2ban/jail.d/whm.conf
     systemctl restart fail2ban
     

– Alternativa con firewalld:

     firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="<IP_CORPORATIVA>" port protocol="tcp" port="2087" accept'
     firewall-cmd --reload
     

1. Escaneo de compromisos:

     yum install rkhunter -y
     rkhunter --check --sk
     

Para entornos con MOVEit Automation

1. Aplicar parches de Progress Software:

– Comando para actualizar (desde el servidor):

     # Descargar parche desde el sitio de Progress
     wget https://download.progress.com/moveit/automation/2025.1.5/moveit-automation-2025.1.5-linux-x64.tar.gz

     # Descomprimir y ejecutar el instalador
     tar -xzf moveit-automation-2025.1.5-linux-x64.tar.gz
     ./moveit-automation-2025.1.5-linux-x64/install.sh
     

1. Revisar permisos y configuraciones:

     rm -f /etc/moveit/automation.config.bak
     chmod 600 /etc/moveit/automation.config
     

– Auditar endpoints REST:

– Verificar que todos los endpoints /api/v* requieran autenticación.

– Ejemplo de verificación:

       curl -I http://localhost:8080/api/v1/login
       # Respuesta esperada: HTTP/1.1 401 Unauthorized
       

1. Deshabilitar endpoints no seguros:

     # Usando iptables (ejemplo)
     iptables -A INPUT -p tcp --dport 8080 -m string --algo bm --string "/api/v1/files" -j DROP
     

1. Escaneo de credenciales filtradas:

– Credenciales de IAM en variables de entorno.

– Comando para buscar en AWS:

       aws s3 ls s3://<bucket-moveit> --recursive | grep -i ".env\|.config"
       

Para equipos de Cloud (AWS/EKS/AKS)

1. Segmentación de redes:

     # Ejemplo de Terraform para AWS
     resource "aws_subnet" "private_moveit" {
       vpc_id            = aws_vpc.main.id
       cidr_block        = "10.0.4.0/24"
       availability_zone = "us-east-1a"
       tags = {
         Name = "private-moveit-subnet"
       }
     }
     

1. Monitoreo de tráfico sospechoso:

– Accesos a 2087/tcp desde internet.

– Regla personalizada:

       # CloudFormation para GuardDuty
       Resources:
         MyThreatIntelSet:
           Type: AWS::GuardDuty::ThreatIntelSet
           Properties:
             Format: TXT
             Location: "https://s3.amazonaws.com/<bucket>/ioc-list.txt"
             Activate: true
       

1. Ejecución de políticas de mínimo privilegio:

     {
       "Version": "2012-10-17",
       "Statement": [
         {
           "Effect": "Deny",
           "Action": "s3:*",
           "Resource": "*",
           "Condition": {
             "StringNotEquals": {
               "s3:Endpoint": "s3.us-east-1.amazonaws.com"
             }
           }
         }
       ]
     }
     

Para equipos de Seguridad

1. Implementar reglas de detección en SIEM:

     index=web sourcetype=access_combined
     cpsrvd OR "cpanel_jsonapi_user="
     | stats count by src_ip
     | where count > 5
     

– Regla para CVE-2026-4670 en Elastic:

     {
       "query": {
         "bool": {
           "must": [
             { "match": { "http.request.path": "/api/v1/login" } },
             { "term": { "http.response.status_code": 200 } },
             { "exists": { "field": "source.ip" } }
           ]
         }
       }
     }
     

1. Cazar indicadores de compromiso (IoC):

– IPs conocidas: 185.143.223.12, 91.107.200.15.

– Hashes de malware: SHA256: 3a7bd3e2360a3d29eea436fcfb7e44c.

– IoC para CVE-2026-4670:

– Endpoints maliciosos: /api/v1/login?username=admin&password=.

1. Simulacros de ataque:

     msfconsole
     use exploit/unix/webapp/cpanel_cve_2026_41940
     set RHOSTS <ip-servidor>
     run
     

Conclusión

Las vulnerabilidades CVE-2026-41940 en cPanel y CVE-2026-4670 en MOVEit Automation no son solo fallas más en la larga lista de CVEs: son armas activas en manos de atacantes que buscan acceder a infraestructuras críticas. Los equipos de DevOps y seguridad deben actuar ya, priorizando:

1. Actualización inmediata de cPanel y MOVEit Automation.
2. Aislamiento de instancias expuestas a internet.
3. Monitoreo proactivo con herramientas como GuardDuty, Splunk o Elastic.
4. Validación de compromisos mediante escaneos con rkhunter y análisis de logs.

La ventana de oportunidad para prevenir un incidente se cierra en horas, no en días. Ignorar estas vulnerabilidades es asumir un riesgo que el 92% de las empresas no puede permitirse, según datos de IBM Security (2026).

Fuentes

• cPanel TSR-2026-0003: Critical Security Update
• Progress Software KB-0000345: MOVEit Automation Vulnerabilities
• Sucuri: cPanel CVE-2026-41940 Active Exploit
• CrowdStrike: MOVEit Automation Analysis
• IBM Security: Data Breach Report 2026