Nisan 2026 sonu. Teknoloji dünyası tek bir konuyla çalkalanıyor: cPanel Krizi. Milyonlarca site etkilendi. Yama çıktı. Ama tehlike bitmedi.
İşte adım adım, panik yapmadan ama ciddiyetini kaçırmadan, bilmeniz gereken her şey.
cPanel Gerçekten Hacklendi mi?
Kısa cevap: Evet ve hayır.
cPanel firmasının kendi sunucuları ele geçirilmedi
cPanel yazılımında kritik bir açık keşfedildi- Açık şifre bilmeden sunucuya tam erişim sağlıyor
- Saldırganlar aylardır bu açığı sessizce kullanıyordu
Yani panel “hacklendi”. Ama klasik anlamda değil. Çok daha tehlikeli bir şekilde.
Önemli: Sorun şifre çalınması değil. Şifre sorma mekanizmasının tamamen atlanabilmesi.
CVE-2026-41940 Künyesi
Açığın resmi kimlik kartı:
- CVE Numarası: CVE-2026-41940
- CVSS Skoru: 9.8 / 10 (Kritik – neredeyse en yüksek)
- Tür: Authentication Bypass + CRLF Injection
- Etkilenen Ürünler: cPanel, WHM, WP Squared
- Etkilenen Sürümler: 11.40 sonrası tüm sürümler
- Kimlik Doğrulama Gerekiyor mu? Hayır. Uzaktan, anonim erişim mümkün
- Sonuç: Tam yönetici (root) erişimi
Tip: 9.8 puan, kritik açıklarda nadiren görülen bir skordur. Genellikle “internet alarm modu” anlamına gelir.
Perde Arkası – Zero-Day Dedikoduları
Olayın resmi anlatımı bir şey. Sektör söylentileri başka bir şey.
Söylenti 1: Aylardır sömürülüyordu
- KnownHost CEO’su Daniel Pearson resmi açıklama yaptı
- İlk sömürü tespiti: 23 Şubat 2026
- Yani açıklama yapılmadan iki ay önce
- “Kesinlikle vahşi doğada kullanıldı, en az 30 gün boyunca”
Söylenti 2: cPanel açığı görmezden geldi
- webhosting.today kaynağına göre açık, kamuya duyurulmadan ~2 hafta önce cPanel’e bildirildi
- cPanel’in ilk yanıtı: “Bir sorun yok”
- hosting.com da “sorumlu açıklama” yapıldığını dolaylı doğruladı
Söylenti 3: Yama, baskıyla geldi
- BleepingComputer’a göre yama “hosting sağlayıcılarının baskısının ardından” çıktı
- Yani Namecheap port kapatma kararı almadan cPanel hareket etmedi
Söylenti 4: Yer altı forumları
- Bazı güvenlik araştırmacıları açığın darknet forumlarında satıldığını iddia ediyor
- Doğrulanmış kanıt yok. Ama 2 aylık sessiz sömürü süresi şüphe yaratıyor
Pro Tavsiye: Bir açık 2 ay boyunca tespit edilmeden sömürülüyorsa, hedefli bir operasyon ihtimali yüksektir.
Zaman Çizelgesi – Saatlerle
Olayın kronolojisi:
- 23 Şubat 2026 – İlk vahşi doğadaki sömürü tespiti (KnownHost)
- ~14 Nisan 2026 – Açık cPanel’e bildirildi (iddia)
- 28 Nisan 2026 – Sabah – cPanel kısa, teknik olmayan advisory yayınladı
- 28 Nisan 2026 – Öğleden sonra – Namecheap 2083 ve 2087 portlarını kapattı
- 28 Nisan 2026 – Akşam – KnownHost, HostPapa, InMotion, hosting.com aynı yolu izledi
- 28 Nisan 2026 – Gece – Resmi yama yayınlandı
- 29 Nisan 2026, 02:42 UTC – Yama büyük sağlayıcıların tüm sunucularına dağıtıldı
- 29 Nisan 2026 – watchTowr Labs PoC ve teknik analiz yayınladı. CVE atandı
- 30 Nisan 2026 – Rapid7, Eye Security ek detayları paylaştı
Kritik nokta: 02:42 UTC, “ele geçirilebilir” ile “korunmuş” arasındaki sınır çizgisi.
Teknik Detay – CRLF Injection Nasıl Çalışıyor?
Karmaşık görünebilir. Ama özü basit.
Saldırı Adımları
- Saldırgan kasıtlı olarak yanlış parolayla giriş denemesi yapar
- cPanel servisi (
cpsrvd) giriş başarısız bile olsa diske bir oturum dosyası yazar - Saldırgan bu oturum çerezinin bir kısmını (obfuscation segmentini) çıkarır
- Şifreleme/sanitizasyon mekanizması bypass edilir
- HTTP Authorization başlığına
\r\n(satır sonu) karakterleri yerleştirilir - Sunucu bunu sanitize etmeden oturum dosyasına yazar
- Saldırgan oturum dosyasına
user=rootenjekte eder - Bir sonraki istekte sistem onu doğrulanmış root sanır
Kök Neden – Trajik Bir Hata
- Bir temizleme fonksiyonu vardı:
filter_sessiondata saveSessionçağrıldığında otomatik tetiklenmiyordu- Her kod yolunun manuel çağırması gerekiyordu
- Bir kritik kod yolu bunu çağırmayı unuttu
- Yıllarca öyle kaldı
Highlight: Yıllar içinde fark edilmemiş bir “unutulmuş adım”. Yazılım dünyasının klasik trajik hatası.
Saldırının Boyutu – Rakamlar
2 milyondan fazla internete açık cPanel örneği (Eye Security)- ~1,5 milyon Shodan üzerinden taranabilir (Rapid7)
- 70 milyondan fazla domain cPanel altyapısı kullanıyor
- 11.40 sonrası tüm sürümler etkili – yıllarca
cPanel’in ele geçirilmesi tek site değil, tüm sunucu demektir. Yani:
- Tüm müşteri hesaplarına erişim
- Tüm veritabanları
- Tüm e-postalar
- Tüm SSL sertifikaları
- Arka kapı kurulumu
- Yatay hareket (lateral movement)
- Kitlesel deface ihtimali
Pro Tavsiye: Paylaşımlı hosting kullanıyorsanız, sunucudaki diğer sitelerin durumu da sizi etkiler.
Hosting Sağlayıcılarının Tepkisi
Belki olayın en çarpıcı yanı.
Advisory yayınlandığı saatler içinde – neredeyse tüm büyük sağlayıcılar müşterilerini kendi ürünlerinden firewall ile ayırdı. Çünkü alternatif: müşterilerinin gerçek zamanlı ele geçirilmesini izlemekti.
Acil Önlem Alan Sağlayıcılar
- Namecheap – 2083, 2087 portları kapatıldı; webmail, WebDisk, SSL devre dışı
- KnownHost – Port engelleme + erken yama dağıtımı
- HostPapa – Aynı protokol
- InMotion Hosting – Aynı protokol
- hosting.com – “Sorumlu açıklama” iletişimi yayınladı
- TPP Web Solutions – Müşterilerine proaktif uyarı
Türk Sağlayıcılar İçin
cPanel/WHM kullanan tüm Türk hosting firmaları (Natro, Turhost, Güzel Hosting, Radore, IhsHost vb.) için aynı senaryo geçerli. Hostinginizin durum sayfasını veya destek ekibini kontrol edin.
Hap Bilgiler – Mutlaka Bilmeniz Gerekenler
Root yetkisi riski – sadece site değil, sunucunun tamamı tehlikede- Şifre değiştirmek yetmez – sorun şifre değil, mekanizma bypass’ı
- Aktif saldırı var – bot taramaları teyit edildi
- 2 aylık sessiz dönem – ele geçirilmiş olabilirsiniz, fark etmemiş olabilirsiniz
- Yama tek başına yetmez – log incelemesi, oturum temizleme, kimlik bilgisi sıfırlama gerekli
- Yedekler kritik – ele geçirilmiş bir sunucudaki yerel yedekler de kirli olabilir
Quick Win: Henüz hosting sağlayıcınızla iletişime geçmediyseniz, hemen yapın. Yama uyguladıklarını yazılı olarak alın.
Adım Adım Kurtarma Planı
İki senaryo. İki farklı eylem listesi.
Sıradan Kullanıcıysanız
- Hosting sağlayıcınızdan yama doğrulaması alın
- cPanel parolanızı değiştirin
- Tüm e-posta hesaplarının parolalarını değiştirin
- FTP, SFTP, SSH parolalarını değiştirin
- Veritabanı parolalarını değiştirin
- WordPress/Joomla yönetici hesaplarını kontrol edin
- Bilinmeyen yönetici hesabı varsa silin
wp-content/uploads/,tmp/klasörlerini şüpheli PHP dosyaları için tarayın- Aktif tüm oturumları sonlandırın
- Şubat 2026’dan beri olağandışı aktivite var mı bakın
Sunucu Yöneticisi/Sysadmin İseniz
Sürüm kontrolü – yamalı sürümlerden birinde olmalısınız:
11.110.0.7911.112.0.4911.114.0.3411.116.0.10- WP Squared
136.1.7
Manuel güncelleme komutu:
/scripts/upcp --force
Sonrasında cpsrvd servisini yeniden başlatın.
Acil mitigasyon (yama hemen uygulanamıyorsa):
- Firewall’da 2083, 2087, 2095, 2096 portlarına dış trafiği engelleyin
cpsrvdvecpdavdservislerini geçici olarak durdurun- IP whitelisting uygulayın – sadece kendi IP’nizden erişim açık olsun
Compromise tespit kontrolü:
/usr/local/cpanel/logs/access_logdosyasını inceleyin- Anormal “200 OK” kayıtlarına bakın
- Hem
token_deniedhemcp_security_tokeniçeren oturumları sorgulayın method=badpass originile başlayan kayıtlara dikkat edin- watchTowr’un Detection Artifact Generator script’ini çalıştırın
- cPanel’in resmi IoC tarama script’ini kullanın
Şüphe varsa:
- Tüm oturumları temizleyin (purge sessions)
- Tüm kimlik bilgilerini sıfırlayın
- Logları detaylı denetleyin
- Persistence (arka kapı) aramaları yapın
Pro Tip: Yamayı uyguladıktan sonra cpsrvd servisini yeniden başlatmadıysanız – yama tam olarak aktif değildir.
Riskler ve Devam Eden Tehlikeler
Yama çıktı. Ama hikâye burada bitmiyor.
- Yamayı uygulamayan binlerce sunucu hâlâ açık
- Şubat–Nisan arasında ele geçirilen sistemlerde kalıcı arka kapılar olabilir
- Yamadan sonra bile log incelemesi yapılmadıysa, ihlal fark edilmemiş olabilir
- PoC (kavram kanıtı) kodu artık herkese açık – script kiddie saldırıları artacak
- Eski, desteklenmeyen sürümlerin yaması yok – onlar kalıcı olarak savunmasız
Bu Olaydan Çıkarılacak Stratejik Dersler
- Yama hızı her şeydir. 02:42 UTC, açıklık ile kontrol arasındaki sınır
- “Assume breach” mimarisi artık opsiyonel değil
- Yedekler off-site, şifreli, sistemden ayrı olmalı
- Sıfır güven (zero-trust) modeli şart
- Tedarik zinciri güvenliği – tek bir bileşen milyonları etkileyebilir
- WAF (Web Application Firewall) artık lüks değil, zorunluluk
- Portları dünyaya açık bırakmak – eski bir hata, hâlâ pahalıya patlıyor
Highlight: Bu vaka, sadece yazılım güncellemenin değil – sunucu seviyesinde WAF kullanmanın ve portları kısıtlamanın ne kadar kritik olduğunu bir kez daha kanıtladı.
Özet – Yazıyı Beş Maddede Hatırla
- CVE-2026-41940 – CVSS 9.8 – kritik authentication bypass
- 23 Şubat’tan beri sessizce sömürüldü; kamuya 28 Nisan’da açıklandı
- 11.40 sonrası tüm cPanel & WHM sürümleri etkilendi
- 70 milyondan fazla domain risk altında
- Yama uygulamak zorunlu; ama log incelemesi de en az o kadar kritik
Son Söz
cPanel hacklendi mi? Şirket olarak hayır. Yazılım olarak – kesinlikle bir kriz yaşadı.
Sıradan kullanıcı için cevap net: Evet, sitenizin oturduğu sunucu da bundan etkilenmiş olabilir. Hosting sağlayıcınızla konuşun. Parolaları sıfırlayın. Loglara bakın.
Bir açığın iki ay boyunca sessizce sömürülmesi – modern hosting altyapısının ne kadar kırılgan olduğunu gösteriyor. Bu olay, son olmayacak.
Hazırlıklı olun.
Kaynaklar: The Hacker News, BleepingComputer, watchTowr Labs, Rapid7, Help Net Security, Cyber Kendra, SecurityWeek, Namecheap Status, Security Affairs, eSecurity Planet, JetBackup Blog, GBHackers, TPP Web Solutions
Son güncelleme: 30 Nisan 2026
Bu yazı cPanel Hacklendi mi? Kritik Güvenlik Açığı – 30 Nisan 2026 ilk olarak Efendim Blog. sitesinde yayınlandı.
