cPanel Hacklendi mi? Kritik Güvenlik Açığı – 30 Nisan 2026

Yazar: Editor | 30 Nisan 2026 tarihinde düzenlendi.
0 Yorum

Efendim Blog » Güncel Blog » cPanel Hacklendi mi? Kritik Güvenlik Açığı – 30 Nisan 2026

Nisan 2026 sonu. Teknoloji dünyası tek bir konuyla çalkalanıyor: cPanel Krizi. Milyonlarca site etkilendi. Yama çıktı. Ama tehlike bitmedi.

İşte adım adım, panik yapmadan ama ciddiyetini kaçırmadan, bilmeniz gereken her şey.

🚨 cPanel Gerçekten Hacklendi mi?

Kısa cevap: Evet ve hayır.

  • ❌ cPanel firmasının kendi sunucuları ele geçirilmedi
  • ✅ cPanel yazılımında kritik bir açık keşfedildi
  • ✅ Açık şifre bilmeden sunucuya tam erişim sağlıyor
  • ✅ Saldırganlar aylardır bu açığı sessizce kullanıyordu

Yani panel “hacklendi”. Ama klasik anlamda değil. Çok daha tehlikeli bir şekilde.

Önemli: Sorun şifre çalınması değil. Şifre sorma mekanizmasının tamamen atlanabilmesi.

📊 CVE-2026-41940 Künyesi

Açığın resmi kimlik kartı:

  • CVE Numarası: CVE-2026-41940
  • CVSS Skoru: 9.8 / 10 (Kritik – neredeyse en yüksek)
  • Tür: Authentication Bypass + CRLF Injection
  • Etkilenen Ürünler: cPanel, WHM, WP Squared
  • Etkilenen Sürümler: 11.40 sonrası tüm sürümler
  • Kimlik Doğrulama Gerekiyor mu? Hayır. Uzaktan, anonim erişim mümkün
  • Sonuç: Tam yönetici (root) erişimi

Tip: 9.8 puan, kritik açıklarda nadiren görülen bir skordur. Genellikle “internet alarm modu” anlamına gelir.

🔥 Perde Arkası – Zero-Day Dedikoduları

Olayın resmi anlatımı bir şey. Sektör söylentileri başka bir şey.

Söylenti 1: Aylardır sömürülüyordu

  • KnownHost CEO’su Daniel Pearson resmi açıklama yaptı
  • İlk sömürü tespiti: 23 Şubat 2026
  • Yani açıklama yapılmadan iki ay önce
  • “Kesinlikle vahşi doğada kullanıldı, en az 30 gün boyunca”

Söylenti 2: cPanel açığı görmezden geldi

  • webhosting.today kaynağına göre açık, kamuya duyurulmadan ~2 hafta önce cPanel’e bildirildi
  • cPanel’in ilk yanıtı: “Bir sorun yok”
  • hosting.com da “sorumlu açıklama” yapıldığını dolaylı doğruladı

Söylenti 3: Yama, baskıyla geldi

  • BleepingComputer’a göre yama “hosting sağlayıcılarının baskısının ardından” çıktı
  • Yani Namecheap port kapatma kararı almadan cPanel hareket etmedi

Söylenti 4: Yer altı forumları

  • Bazı güvenlik araştırmacıları açığın darknet forumlarında satıldığını iddia ediyor
  • Doğrulanmış kanıt yok. Ama 2 aylık sessiz sömürü süresi şüphe yaratıyor

Pro Tavsiye: Bir açık 2 ay boyunca tespit edilmeden sömürülüyorsa, hedefli bir operasyon ihtimali yüksektir.

📅 Zaman Çizelgesi – Saatlerle

Olayın kronolojisi:

  • 23 Şubat 2026 – İlk vahşi doğadaki sömürü tespiti (KnownHost)
  • ~14 Nisan 2026 – Açık cPanel’e bildirildi (iddia)
  • 28 Nisan 2026 – Sabah – cPanel kısa, teknik olmayan advisory yayınladı
  • 28 Nisan 2026 – Öğleden sonra – Namecheap 2083 ve 2087 portlarını kapattı
  • 28 Nisan 2026 – Akşam – KnownHost, HostPapa, InMotion, hosting.com aynı yolu izledi
  • 28 Nisan 2026 – Gece – Resmi yama yayınlandı
  • 29 Nisan 2026, 02:42 UTC – Yama büyük sağlayıcıların tüm sunucularına dağıtıldı
  • 29 Nisan 2026 – watchTowr Labs PoC ve teknik analiz yayınladı. CVE atandı
  • 30 Nisan 2026 – Rapid7, Eye Security ek detayları paylaştı

Kritik nokta: 02:42 UTC, “ele geçirilebilir” ile “korunmuş” arasındaki sınır çizgisi.

⚙️ Teknik Detay – CRLF Injection Nasıl Çalışıyor?

Karmaşık görünebilir. Ama özü basit.

Saldırı Adımları

  1. Saldırgan kasıtlı olarak yanlış parolayla giriş denemesi yapar
  2. cPanel servisi (cpsrvd) giriş başarısız bile olsa diske bir oturum dosyası yazar
  3. Saldırgan bu oturum çerezinin bir kısmını (obfuscation segmentini) çıkarır
  4. Şifreleme/sanitizasyon mekanizması bypass edilir
  5. HTTP Authorization başlığına \r\n (satır sonu) karakterleri yerleştirilir
  6. Sunucu bunu sanitize etmeden oturum dosyasına yazar
  7. Saldırgan oturum dosyasına user=root enjekte eder
  8. Bir sonraki istekte sistem onu doğrulanmış root sanır

Kök Neden – Trajik Bir Hata

  • Bir temizleme fonksiyonu vardı: filter_sessiondata
  • saveSession çağrıldığında otomatik tetiklenmiyordu
  • Her kod yolunun manuel çağırması gerekiyordu
  • Bir kritik kod yolu bunu çağırmayı unuttu
  • Yıllarca öyle kaldı

Highlight: Yıllar içinde fark edilmemiş bir “unutulmuş adım”. Yazılım dünyasının klasik trajik hatası.

🌐 Saldırının Boyutu – Rakamlar

  • 🌍 2 milyondan fazla internete açık cPanel örneği (Eye Security)
  • 🌍 ~1,5 milyon Shodan üzerinden taranabilir (Rapid7)
  • 🌍 70 milyondan fazla domain cPanel altyapısı kullanıyor
  • 🌍 11.40 sonrası tüm sürümler etkili – yıllarca

cPanel’in ele geçirilmesi tek site değil, tüm sunucu demektir. Yani:

  • Tüm müşteri hesaplarına erişim
  • Tüm veritabanları
  • Tüm e-postalar
  • Tüm SSL sertifikaları
  • Arka kapı kurulumu
  • Yatay hareket (lateral movement)
  • Kitlesel deface ihtimali

Pro Tavsiye: Paylaşımlı hosting kullanıyorsanız, sunucudaki diğer sitelerin durumu da sizi etkiler.

🛡️ Hosting Sağlayıcılarının Tepkisi

Belki olayın en çarpıcı yanı.

Advisory yayınlandığı saatler içinde – neredeyse tüm büyük sağlayıcılar müşterilerini kendi ürünlerinden firewall ile ayırdı. Çünkü alternatif: müşterilerinin gerçek zamanlı ele geçirilmesini izlemekti.

Acil Önlem Alan Sağlayıcılar

  • Namecheap – 2083, 2087 portları kapatıldı; webmail, WebDisk, SSL devre dışı
  • KnownHost – Port engelleme + erken yama dağıtımı
  • HostPapa – Aynı protokol
  • InMotion Hosting – Aynı protokol
  • hosting.com – “Sorumlu açıklama” iletişimi yayınladı
  • TPP Web Solutions – Müşterilerine proaktif uyarı

Türk Sağlayıcılar İçin

cPanel/WHM kullanan tüm Türk hosting firmaları (Natro, Turhost, Güzel Hosting, Radore, IhsHost vb.) için aynı senaryo geçerli. Hostinginizin durum sayfasını veya destek ekibini kontrol edin.

🛠️ Hap Bilgiler – Mutlaka Bilmeniz Gerekenler

  • 🔴 Root yetkisi riski – sadece site değil, sunucunun tamamı tehlikede
  • 🔴 Şifre değiştirmek yetmez – sorun şifre değil, mekanizma bypass’ı
  • 🔴 Aktif saldırı var – bot taramaları teyit edildi
  • 🔴 2 aylık sessiz dönem – ele geçirilmiş olabilirsiniz, fark etmemiş olabilirsiniz
  • 🔴 Yama tek başına yetmez – log incelemesi, oturum temizleme, kimlik bilgisi sıfırlama gerekli
  • 🔴 Yedekler kritik – ele geçirilmiş bir sunucudaki yerel yedekler de kirli olabilir

Quick Win: Henüz hosting sağlayıcınızla iletişime geçmediyseniz, hemen yapın. Yama uyguladıklarını yazılı olarak alın.

🏃‍♂️ Adım Adım Kurtarma Planı

İki senaryo. İki farklı eylem listesi.

🟢 Sıradan Kullanıcıysanız

  1. Hosting sağlayıcınızdan yama doğrulaması alın
  2. cPanel parolanızı değiştirin
  3. Tüm e-posta hesaplarının parolalarını değiştirin
  4. FTP, SFTP, SSH parolalarını değiştirin
  5. Veritabanı parolalarını değiştirin
  6. WordPress/Joomla yönetici hesaplarını kontrol edin
  7. Bilinmeyen yönetici hesabı varsa silin
  8. wp-content/uploads/, tmp/ klasörlerini şüpheli PHP dosyaları için tarayın
  9. Aktif tüm oturumları sonlandırın
  10. Şubat 2026’dan beri olağandışı aktivite var mı bakın

🔴 Sunucu Yöneticisi/Sysadmin İseniz

Sürüm kontrolü – yamalı sürümlerden birinde olmalısınız:

  • 11.110.0.79
  • 11.112.0.49
  • 11.114.0.34
  • 11.116.0.10
  • WP Squared 136.1.7

Manuel güncelleme komutu:

/scripts/upcp --force

Sonrasında cpsrvd servisini yeniden başlatın.

Acil mitigasyon (yama hemen uygulanamıyorsa):

  • Firewall’da 2083, 2087, 2095, 2096 portlarına dış trafiği engelleyin
  • cpsrvd ve cpdavd servislerini geçici olarak durdurun
  • IP whitelisting uygulayın – sadece kendi IP’nizden erişim açık olsun

Compromise tespit kontrolü:

  • /usr/local/cpanel/logs/access_log dosyasını inceleyin
  • Anormal “200 OK” kayıtlarına bakın
  • Hem token_denied hem cp_security_token içeren oturumları sorgulayın
  • method=badpass origin ile başlayan kayıtlara dikkat edin
  • watchTowr’un Detection Artifact Generator script’ini çalıştırın
  • cPanel’in resmi IoC tarama script’ini kullanın

Şüphe varsa:

  • Tüm oturumları temizleyin (purge sessions)
  • Tüm kimlik bilgilerini sıfırlayın
  • Logları detaylı denetleyin
  • Persistence (arka kapı) aramaları yapın

Pro Tip: Yamayı uyguladıktan sonra cpsrvd servisini yeniden başlatmadıysanız – yama tam olarak aktif değildir.

⚠️ Riskler ve Devam Eden Tehlikeler

Yama çıktı. Ama hikâye burada bitmiyor.

  • ⚠️ Yamayı uygulamayan binlerce sunucu hâlâ açık
  • ⚠️ Şubat–Nisan arasında ele geçirilen sistemlerde kalıcı arka kapılar olabilir
  • ⚠️ Yamadan sonra bile log incelemesi yapılmadıysa, ihlal fark edilmemiş olabilir
  • ⚠️ PoC (kavram kanıtı) kodu artık herkese açık – script kiddie saldırıları artacak
  • ⚠️ Eski, desteklenmeyen sürümlerin yaması yok – onlar kalıcı olarak savunmasız

🎯 Bu Olaydan Çıkarılacak Stratejik Dersler

  • Yama hızı her şeydir. 02:42 UTC, açıklık ile kontrol arasındaki sınır
  • “Assume breach” mimarisi artık opsiyonel değil
  • Yedekler off-site, şifreli, sistemden ayrı olmalı
  • Sıfır güven (zero-trust) modeli şart
  • Tedarik zinciri güvenliği – tek bir bileşen milyonları etkileyebilir
  • WAF (Web Application Firewall) artık lüks değil, zorunluluk
  • Portları dünyaya açık bırakmak – eski bir hata, hâlâ pahalıya patlıyor

Highlight: Bu vaka, sadece yazılım güncellemenin değil – sunucu seviyesinde WAF kullanmanın ve portları kısıtlamanın ne kadar kritik olduğunu bir kez daha kanıtladı.

🧾 Özet – Yazıyı Beş Maddede Hatırla

  • 🔥 CVE-2026-41940 – CVSS 9.8 – kritik authentication bypass
  • 🔥 23 Şubat’tan beri sessizce sömürüldü; kamuya 28 Nisan’da açıklandı
  • 🔥 11.40 sonrası tüm cPanel & WHM sürümleri etkilendi
  • 🔥 70 milyondan fazla domain risk altında
  • 🔥 Yama uygulamak zorunlu; ama log incelemesi de en az o kadar kritik

💡 Son Söz

cPanel hacklendi mi? Şirket olarak hayır. Yazılım olarak – kesinlikle bir kriz yaşadı.

Sıradan kullanıcı için cevap net: Evet, sitenizin oturduğu sunucu da bundan etkilenmiş olabilir. Hosting sağlayıcınızla konuşun. Parolaları sıfırlayın. Loglara bakın.

Bir açığın iki ay boyunca sessizce sömürülmesi – modern hosting altyapısının ne kadar kırılgan olduğunu gösteriyor. Bu olay, son olmayacak.

Hazırlıklı olun.

Kaynaklar: The Hacker News, BleepingComputer, watchTowr Labs, Rapid7, Help Net Security, Cyber Kendra, SecurityWeek, Namecheap Status, Security Affairs, eSecurity Planet, JetBackup Blog, GBHackers, TPP Web Solutions

Son güncelleme: 30 Nisan 2026

Social Share or Summarize with AI
(PAYLAŞ) WhatsApp

Bunları da Okuyun

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir