ثغرة حرجة في سي بانل استُغلت في هجمات رانسوموير «سوري»
تحديث طارئ عقب استغلال نشط
ثغرة جديدة في سي بانل مسجلة تحت المعرف CVE-2026-41940 يتم استغلالها على نطاق واسع في هجمات رانسوموير تكسر حماية المواقع وتشفّر البيانات، وفقًا للباحثين وتقارير الحوادث.
هذا الأسبوع، أصدرت دبليو إتش إم وسي بانل تحديثًا طارئًا لإصلاح خلل تجاوز المصادقة الحرج الذي يمكن أن يسمح للمهاجمين بالوصول إلى لوحات التحكم. دبليو إتش إم وسي بانل هما أدوات استضافة تعمل على لينكس تُستخدم لإدارة الخوادم والمواقع، حيث يتولى دبليو إتش إم إدارة مهام الإدارة على مستوى الخادم بينما يوفر سي بانل الوصول إلى واجهات إدارة المواقع والبريد الإلكتروني وقواعد البيانات.
بعد إصدار الإصلاح بفترة قصيرة، أُبلغ عن استغلال الثغرة في البرية كـ zero-day، مع محاولات استغلال تعود إلى أواخر فبراير. تقول جهة مراقبة الأمن على الإنترنت Shadowserver إن ما لا يقل عن 44,000 عنوان IP تعمل عليها نسخ من سي بانل قد تم اختراقها منذ ذلك الحين في هجمات مستمرة.
أخبرت مصادر متعددة موقع BleepingComputer أن القراصنة يستخدمون الثغرة منذ يوم الخميس لاختراق الخوادم ونشر مُشفّر لينكس مكتوب بلغة Go ومرتبط بعائلة رانسوموير «سوري». انتشرت منذ ذلك الحين تقارير عن مواقع متأثرة، بما في ذلك مشاركات في منتديات من ضحايا يشاركون عينات من ملفات مشفّرة ومحتوى ملاحظات الفدية. تم فهرسة مئات المواقع المخترقة بالفعل في Google.
يضيف المُشفّر امتداد ".sorry" إلى الملفات المشفّرة ويستخدم شيفرة التدفق ChaCha20، مع حماية مفتاح التشفير بواسطة مفتاح عام RSA-2048 مدمج. يقول خبير رانسوموير Rivitna إن فك التشفير غير ممكن بدون مفتاح RSA-2048 الخاص المطابق.
في كل مجلد، يتم إنشاء ملاحظة فدية باسم README.md، تُوجّه الضحية إلى الاتصال بالمهاجم عبر Tox للتفاوض على دفع الفدية، حسب التقرير. تُذكر الملاحظة أنها متطابقة عبر الضحايا في هذه الحملة وتتضمن معرف Tox التالي: 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
لاحظ الباحثون أن الحملة الحالية لا علاقة لها بعملية رانسوموير عام 2018 التي استخدمت أيضًا امتداد ".sorry".
يُحث جميع مستخدمي سي بانل و دبليو إتش إم على تثبيت التحديثات الأمنية المتاحة فورًا إذ أن الهجمات لا تزال في بدايتها ومن المتوقع أن تتصاعد في الأيام والأسابيع القادمة.
المصادر: