Vulnerabilità critiche su Linux e cPanel sfruttate attivamente dagli hacker. A rischio anche AWS

CISA ha inserito due vulnerabilità critiche, già attivamente sfruttate dagli hacker, nel proprio catalogo KEV (Known Exploited Vulnerabilities). La prima (CVE-2026-31431) è una grave falla “Copy Fail” nel kernel Linux (presente dal 2017) che consente a utenti locali non privilegiati di ottenere i permessi di root, minacciando in modo particolare gli ambienti containerizzati. La seconda (CVE-2026-41940, CVSS 9.8) colpisce i pannelli cPanel e WHM, consentendo un bypass completo dell’autenticazione; questa vulnerabilità è attualmente sfruttata in massa per diffondere il ransomware “Sorry”, che cifra i file dei server di hosting chiedendo un riscatto. A completare il quadro delle emergenze di inizio maggio si aggiunge la CVE-2026-7461, una command injection nell’Amazon ECS Agent di AWS che permette l’esecuzione di codice con privilegi SYSTEM. Gli amministratori IT sono chiamati ad applicare immediatamente le patch di emergenza rilasciate per evitare compromissioni irreversibili delle proprie infrastrutture.

CISA aggiunge CVE-2026-31431 al KEV per exploit root su Linux

CISA inserisce CVE-2026-31431 nel Known Exploited Vulnerabilities catalog il 1° maggio 2026. La vulnerabilità interessa il kernel Linux e consente a un utente locale non privilegiato di ottenere privilegi root attraverso un difetto di gestione delle risorse. La falla viene indicata come Incorrect Resource Transfer Between Spheres e rappresenta un rischio concreto per server enterprise, ambienti cloud e infrastrutture containerizzate. Il problema è particolarmente grave perché riguarda sistemi Linux con kernel distribuiti negli ultimi anni e può essere sfruttato dopo un primo accesso limitato. In scenari reali, un attaccante può ottenere un foothold tramite credenziali deboli, container compromessi o job CI malevoli, quindi usare la vulnerabilità per elevare i privilegi. La presenza nel catalogo KEV indica sfruttamento attivo e impone priorità assoluta nei processi di patch management.

Exploit Linux minaccia container Docker LXC e Kubernetes

La CVE-2026-31431 colpisce in modo particolare ambienti basati su Docker, LXC e Kubernetes, dove un accesso iniziale limitato può trasformarsi in compromissione completa del sistema host. La vulnerabilità riguarda il sottosistema AF_ALG e il modulo algif_aead, con impatto potenziale su distribuzioni che caricano questo componente. In contesti containerizzati, il rischio cresce perché workload isolati possono condividere superfici di attacco a livello kernel.

CVE-2026-31431 Linux Kernel Incorrect Resource Transfer Between Spheres Vulnerability

Gli amministratori devono verificare immediatamente la versione del kernel, applicare gli aggiornamenti disponibili e ridurre l’esposizione dei moduli non necessari. Se l’aggiornamento non è subito possibile, la disabilitazione di algif_aead, la segmentazione di rete e il rafforzamento dei controlli di accesso diventano misure temporanee essenziali. La vulnerabilità dimostra ancora una volta che la sicurezza dei container dipende direttamente dalla robustezza del kernel sottostante.

CISA inserisce CVE-2026-41940 nel KEV per bypass critico su cPanel

Il 30 aprile 2026 CISA aggiunge anche CVE-2026-41940 al catalogo KEV. La falla interessa cPanel & WHM e WP2 WordPress Squared, consentendo un bypass di autenticazione in funzioni critiche. Il punteggio CVSS 9.8 riflette la gravità del problema: un attaccante remoto può accedere ai pannelli senza credenziali valide e assumere il controllo di server di hosting esposti. La vulnerabilità ha un impatto rilevante perché cPanel è uno dei pannelli più diffusi tra provider, reseller e piccoli hoster. Un singolo server compromesso può contenere decine o centinaia di siti, database, account email e file utente. La falla diventa quindi un vettore ideale per furto dati, defacement, spam, phishing, installazione di backdoor e distribuzione di ransomware. L’inserimento nel KEV conferma che non si tratta di rischio teorico.

Ransomware Sorry sfrutta la falla cPanel e cifra file con estensione .sorry

La CVE-2026-41940 viene sfruttata in campagne legate al ransomware Sorry, che cifra i file sui server compromessi e aggiunge l’estensione .sorry. Gli attaccanti usano il bypass di autenticazione per ottenere accesso al pannello, caricare payload malevoli e colpire siti web, immagini, documenti e database. Ogni directory compromessa può ricevere un file README.md con istruzioni per contattare gli operatori tramite canali anonimi.

CVE-2026-41940 WebPros cPanel & WHM and WP2 (WordPress Squared) Missing Authentication for Critical Function Vulnerability

Il malware viene descritto come un encryptor scritto in Go, con cifratura dei file tramite ChaCha20 e protezione delle chiavi con RSA-2048. La rapidità dello sfruttamento mostra quanto le falle nei pannelli hosting possano trasformarsi in incidenti di massa. Per molti proprietari di siti, l’effetto immediato è perdita di accesso ai contenuti, downtime prolungato e rischio di cancellazione o pubblicazione di dati sensibili.

cPanel rilascia emergency update per correggere autenticazione e sessioni

cPanel pubblica un emergency update il 28 aprile 2026 per correggere CVE-2026-41940. L’aggiornamento riguarda tutte le versioni supportate e interviene sui percorsi di autenticazione vulnerabili. Gli amministratori devono applicare immediatamente le build corrette o migrare da release non supportate a versioni aggiornate. Ritardare l’installazione espone i server a compromissione completa. La correzione è prioritaria per provider hosting, reseller, aziende con pannelli WHM esposti e ambienti che ospitano più clienti sullo stesso server. Dopo l’aggiornamento, è necessario verificare eventuali account sospetti, modifiche non autorizzate, webshell, backdoor, file cifrati e attività anomale nei log. La patch chiude il vettore, ma non elimina automaticamente una compromissione già avvenuta.

AWS corregge CVE-2026-7461 nell’ECS Agent su Windows

AWS pubblica il 30 aprile 2026 un security bulletin per CVE-2026-7461, una vulnerabilità di OS Command Injection nell’Amazon ECS Agent. Il problema riguarda il mounting dei volumi FSx Windows File Server e può consentire esecuzione di codice con privilegi SYSTEM sull’istanza sottostante attraverso credenziali appositamente manipolate in una definizione di task. La vulnerabilità interessa ambienti ECS su Windows e richiede attenzione immediata da parte dei team cloud. AWS corregge il problema con ECS Agent 1.103.0 e raccomanda di aggiornare all’ultima Amazon ECS-optimized Windows AMI. Come mitigazione temporanea, gli amministratori devono limitare il permesso ecs:RegisterTaskDefinition a principal IAM fidati e restringere l’accesso in scrittura ai segreti usati nelle configurazioni FSx.

Server Linux hosting panel e cloud ECS richiedono patch prioritarie

Le tre vulnerabilità colpiscono livelli diversi ma complementari dell’infrastruttura moderna. CVE-2026-31431 riguarda il kernel Linux e minaccia host, container e ambienti virtualizzati. CVE-2026-41940 espone pannelli hosting e siti web a compromissione remota e ransomware. CVE-2026-7461 coinvolge il cloud AWS e introduce rischio di command injection in workload ECS Windows. Questo scenario impone una risposta coordinata. I team di sicurezza devono classificare questi aggiornamenti come emergenze operative, non come normali attività di manutenzione. La presenza di CVE nel catalogo KEV significa sfruttamento attivo, quindi i tempi di reazione diventano decisivi. Patch ritardate possono trasformarsi in escalation root, cifratura dei file, furto dati o controllo completo dell’infrastruttura.

Amministratori devono verificare kernel cPanel e agent ECS senza ritardi

Per CVE-2026-31431, gli amministratori Linux devono controllare kernel installato, moduli caricati e presenza di workload potenzialmente compromessi. Gli aggiornamenti ai kernel corretti devono entrare subito nelle finestre di manutenzione. Nei cluster Kubernetes, è necessario valutare anche nodi worker, immagini base, container privilegiati e policy di isolamento. Per CVE-2026-41940, i gestori di cPanel & WHM devono applicare l’emergency update e avviare controlli post-compromissione. Per CVE-2026-7461, gli utenti AWS ECS devono aggiornare l’agent, rivedere policy IAM e controllare i segreti associati ai volumi FSx Windows File Server. La mitigazione efficace passa da patch, audit e riduzione dei privilegi.

Vulnerabilità KEV confermano escalation dei rischi su infrastrutture critiche

L’aggiunta di queste vulnerabilità al catalogo CISA KEV conferma una tendenza evidente: gli attaccanti sfruttano rapidamente falle che colpiscono componenti infrastrutturali diffusi. Kernel, pannelli di hosting e agent cloud sono obiettivi ad alto valore perché permettono accesso esteso e movimento laterale. Una singola falla può compromettere interi ambienti multi-tenant. La combinazione tra exploit root locale, bypass di autenticazione remoto e command injection cloud rende maggio 2026 un periodo critico per amministratori e security team. Le organizzazioni devono trattare il vulnerability management come processo continuo, con priorità basate su sfruttamento reale e non soltanto su punteggio CVSS. In questo contesto, patch tempestive e monitoraggio attivo diventano elementi essenziali della difesa.