La vulnerabilità cPanel CVE-2026-41940 ha colpito centinaia di migliaia di server in tutto il mondo. Una piccola realtà sammarinese ha gestito uno dei casi italiani da dentro. Cronaca di cinque giorni in trincea.

Il 28 aprile 2026, mentre la maggior parte di noi pensava al ponte del primo maggio, il fornitore americano cPanel pubblicava un advisory di sicurezza che nelle ore successive avrebbe fatto chiudere mezzo internet. La vulnerabilità si chiama CVE-2026-41940, ha un punteggio di gravità di 9.8 su 10, e permette a un attaccante remoto di ottenere il controllo amministrativo di un server senza nemmeno avere una password. Tradotto: chi sapeva sfruttarla apriva la porta di ingresso di milioni di siti web come se fosse un cancello senza serratura.

Nelle 24 ore successive il caos è stato totale. La fondazione Shadowserver — un osservatorio non profit che monitora gli attacchi su scala planetaria — ha rilevato oltre 44.000 indirizzi IP impegnati a scansionare e tentare di sfruttare la falla. Provider hosting di calibro internazionale come Namecheap, KnownHost, HostPapa, InMotion hanno preso una decisione drastica: bloccare l’accesso ai pannelli cPanel dei loro stessi clienti, perché il rischio era tenerli aperti mentre venivano svuotati. La CISA, l’agenzia americana per la sicurezza cibernetica, ha inserito la vulnerabilità nel proprio catalogo “exploited” il giorno dopo.

In pratica: mai successo a questa velocità.

A complicare il quadro, una campagna ransomware ha iniziato a cifrare i file dei server compromessi rinominandoli con un’estensione bizzarra: .sorry. Migliaia di siti, da un giorno all’altro, mostravano una richiesta di riscatto al posto della home page. Una seconda ondata, parallela, distribuiva varianti del botnet Mirai per trasformare i server colpiti in soldatini di una rete di attacco distribuita.

In mezzo a questa tempesta, sul Titano, un team che lavora per STRATEGIC — la realtà di consulenza in cybersecurity di alto profilo con sede a San Marino — riceveva la chiamata di un cliente. Un e-commerce gestito da una agenzia cliente e ospitato su un hosting anche molto noto, con oltre diecimila prodotti a catalogo e quasi duemila ordini in corso, vedeva il proprio sito improvvisamente sostituito da una pagina di richiesta riscatto. La firma era inequivocabile: estensione .sorry, ransomware della famiglia Mallox.

Due giorni dopo il sito era di nuovo online, con il catalogo ricostruito al cento per cento e nessun ordine perso. Per la cronaca: 42.277 file immagine recuperati, 1.857 ordini WooCommerce preservati, quattro server bonificati, sessanta domini gestiti messi in sicurezza, zero data loss certificato. Tredici indirizzi IP attaccanti — provenienti da Cina, Sud Corea, Russia, Vietnam, Bulgaria, Romania, Libano, Brasile, Colombia e altri paesi — bloccati in modo persistente.

Ma il dato più interessante non è quello del recupero. È quello dell’investigazione successiva. Risalendo a ritroso le tracce dell’attaccante, il team ha scoperto che la backdoor che era stata sfruttata adesso era in realtà presente sul server da circa diciotto mesi. Un plugin WordPress vulnerabile installato anni fa — il famigerato wp-file-manager, già noto agli specialisti di settore per CVE pubblicate da tempo — aveva permesso un primo ingresso silenzioso sette mesi prima dell’attacco visibile.

L’aggressore aveva semplicemente aspettato il momento giusto per agire, sfruttando la nuova falla cPanel per accelerare il movimento laterale tra i server collegati.

È esattamente lo schema che la comunità della cybersecurity internazionale chiama “patient zero attack“: una compromissione iniziale dormiente, che si attiva mesi o anni dopo nel momento ritenuto più redditizio. Una notizia non rassicurante per chi pensa che “il mio sito è piccolo, chi vuoi che mi attacchi”: gli attacchi automatizzati di oggi non scelgono le vittime per importanza, le scelgono per vulnerabilità.

La buona notizia è che la difesa, sul piano tecnico, è ampiamente possibile. Patch tempestiva del software (il fix per CVE-2026-41940 è stato rilasciato due-tre ore dopo l’advisory di cPanel, e va applicato subito), aggiornamento dei plugin WordPress, autenticazione a due fattori sui pannelli amministrativi, web application firewall come Wordfence o ModSecurity, monitoraggio delle sessioni anomale.

La cattiva notizia è che molte PMI italiane e sammarinesi non hanno un partner che faccia queste cose in tempo, né un piano di risposta che parta entro le prime quattro ore — finestra dopo la quale un incidente da gestibile diventa catastrofico.

Per Luca Bartolini, direttore operativo di STRATEGIC, il caso del cliente recente non è un’eccezione ma un segnale di tendenza: «Stiamo vedendo, nei pannelli dei nostri clienti, un aumento netto di scansioni provenienti da botnet internazionali. Le PMI sammarinesi e romagnole non sono al riparo per la loro dimensione: sono al contrario un bersaglio appetibile proprio perché spesso non hanno strumenti di difesa proporzionati al loro fatturato esposto online».

Il pezzo finisce qui, ma la storia no. Per chi gestisce un sito su cPanel — la maggior parte degli hosting italiani lo fa — il consiglio operativo è uno solo: verificare la versione installata, controllare i log delle sessioni amministrative recenti, e se qualcosa non torna chiamare qualcuno che sappia leggere quei log.

Possibilmente prima di lunedì.