بهرهبرداری از نقص بحرانی سیپنل در حملات باجافزار «Sorry»
بسته اصلاح اضطراری پس از بهرهبرداری فعال
یک آسیبپذیری تازه افشاشده در سیپنل که با شناسه CVE-2026-41940 ردیابی میشود، طبق گزارش محققان و گزارشهای حادثهنگاری، در حملات باجافزاری که به نفوذ در وبسایتها و رمزگذاری دادهها منجر میشوند، بهصورت گسترده مورد بهرهبرداری قرار گرفته است.
این هفته، دبلیواِچاِم و سیپنل یک بهروزرسانی اضطراری منتشر کردند تا یک نقص بحرانی در دورزدن احراز هویت را رفع کنند که میتواند به مهاجمان اجازه دسترسی به پنلهای کنترل را بدهد. دبلیواِچاِم و سیپنل ابزارهای میزبانی مبتنی بر لینوکس هستند که برای مدیریت سرورها و وبسایتها بهکار میروند؛ دبلیواِچاِم وظایف مدیریتی سطح سرور را برعهده دارد و سیپنل دسترسی به پشتصحنه وبسایتها، وبمیل و پایگاههای داده را فراهم میکند.
اندکی پس از انتشار اصلاح، گزارش شد که این نقص بهعنوان یک zero-day در طبیعت مورد بهرهبرداری فعال قرار گرفته است و تلاشهای بهرهبرداری به اواخر فوریه بازمیگردد. ناظر امنیت اینترنت Shadowserver میگوید دستکم 44,000 نشانی IP که سیپنل را اجرا میکردهاند از زمان آن در حملات جاری بهخطر افتادهاند.
چند منبع به سایت BleepingComputer گفتهاند که هکرها از روز پنجشنبه از این نقص برای نفوذ به سرورها و استقرار یک رمزگذار لینوکس مبتنی بر گو استفاده کردهاند که به خانواده باجافزار «Sorry» مرتبط است. از آن زمان گزارشهایی از وبسایتهای تحت تاثیر منتشر شده است، از جمله پستهای انجمن از قربانیان که نمونههای فایلهای رمزگذاریشده و محتوای یادداشت باجخواهی را به اشتراک گذاشتهاند. صدها سایت بهخطرافتاده نیز در گوگل فهرست شدهاند.
این رمزگذار لینوکسی پسوند «.sorry» را به فایلهای رمزگذاریشده میافزاید و از رمزنگار جریان چاچا۲۰ استفاده میکند، با کلید رمزگذاری که توسط یک کلید عمومی RSA-2048 تعبیهشده محافظت میشود. کارشناس باجافزار Rivitna میگوید بدون کلید خصوصی متناظر RSA-2048 فرایند رمزگشایی امکانپذیر نیست.
«در هر پوشه یک یادداشت باجخواهی بهنام README.md ایجاد میشود که قربانی را راهنمایی میکند با بازیگر تهدید از طریق Tox تماس بگیرد تا در مورد پرداخت باج مذاکره کنند»، گزارش میگوید. گفته شده متن یادداشت در میان قربانیان این کمپین یکسان است و شامل شناسه Tox زیر میشود: 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
محققان خاطرنشان کردهاند که کمپین کنونی ارتباطی با عملیات باجافزاری سال ۲۰۱۸ که همچنین از پسوند «.sorry» استفاده کرده بود، ندارد.
از همه کاربران سیپنل و دبلیواِچاِم خواسته شده است فوراً بهروزرسانیهای امنیتی موجود را نصب کنند زیرا حملات تازه آغاز شدهاند و انتظار میرود در روزها و هفتههای آینده شدت یابند.
منابع: