Falla crítica en cPanel explotada en ataques de ransomware “Sorry”
Parche de emergencia tras explotación activa
Una vulnerabilidad de cPanel recién divulgada, identificada como CVE-2026-41940, está siendo explotada masivamente en ataques de ransomware que comprometen sitios web y cifran datos, según investigadores e informes de incidentes.
Esta semana, WHM y cPanel publicaron una actualización de emergencia para corregir una falla crítica de omisión de autenticación que puede permitir a los atacantes acceder a los paneles de control. WHM y cPanel son herramientas de alojamiento basadas en Linux utilizadas para administrar servidores y sitios web, donde WHM gestiona la administración a nivel de servidor y cPanel ofrece acceso a los backends de sitios web, webmail y bases de datos.
Poco después de que se publicara la corrección, se informó que la falla estaba siendo explotada activamente en la naturaleza como un zero-day, con intentos de explotación que se remontan a finales de febrero. El vigilante de seguridad en Internet Shadowserver afirma que al menos 44.000 direcciones IP que ejecutan cPanel han sido comprometidas en ataques en curso.
Múltiples fuentes dijeron a BleepingComputer que los hackers han estado usando la falla desde el jueves para infiltrarse en servidores y desplegar un encriptador para Linux basado en Go vinculado a la familia de ransomware “Sorry”. Desde entonces se han difundido informes de sitios web afectados, incluidos mensajes en foros de víctimas que comparten muestras de archivos cifrados y el contenido de las notas de rescate. Cientos de sitios comprometidos ya han sido indexados en Google.
El encriptador para Linux añade la extensión “.sorry” a los archivos cifrados y usa el cifrador de flujo ChaCha20, con la clave de cifrado protegida por una clave pública RSA-2048 embebida. El experto en ransomware Rivitna afirma que el descifrado no es posible sin la clave privada RSA-2048 correspondiente.
“En cada carpeta se crea una nota de rescate llamada README.md, instruyendo a la víctima a contactar al actor de la amenaza en Tox para negociar el pago del rescate,” decía el informe. Se informa que la nota es la misma entre las víctimas de esta campaña e incluye el ID de Tox 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Los investigadores señalaron que la campaña actual no está relacionada con una operación de ransomware de 2018 que también usó la extensión “.sorry”.
Se insta a todos los usuarios de cPanel y WHM a instalar las actualizaciones de seguridad disponibles de inmediato, ya que los ataques apenas están comenzando y se espera que se intensifiquen en los próximos días y semanas.
Fuentes: