Une faille critique de cPanel exploitée dans les attaques par rançongiciel “Sorry”
Un correctif d'urgence suite à une exploitation active
Une vulnérabilité cPanel nouvellement divulguée, répertoriée sous CVE-2026-41940, est massivement exploitée dans des attaques de rançongiciel qui compromettent des sites web et chiffrent des données, selon des chercheurs et des rapports d'incidents.
Cette semaine, WHM et cPanel ont publié une mise à jour d'urgence pour corriger une faille critique de contournement d'authentification pouvant permettre aux attaquants d'accéder aux panneaux de contrôle. WHM et cPanel sont des outils d'hébergement basés sur Linux utilisés pour gérer des serveurs et des sites web, WHM s'occupant de l'administration au niveau serveur et cPanel fournissant l'accès aux backends de sites, au webmail et aux bases de données.
Peu après la publication du correctif, la faille a été signalée comme étant exploitée activement dans la nature en tant que zero-day, avec des tentatives d'exploitation remontant à la fin février. Le groupe de surveillance de la sécurité Internet Shadowserver indique qu'au moins 44 000 adresses IP exécutant cPanel ont depuis été compromises lors d'attaques en cours.
Plusieurs sources ont indiqué à BleepingComputer que des hackers utilisent la faille depuis jeudi pour s'introduire sur des serveurs et déployer un chiffreur Linux en Go lié à la famille de rançongiciels « Sorry ». Des signalements de sites impactés se sont depuis multipliés, y compris des messages de victimes sur des forums partageant des exemples de fichiers chiffrés et le contenu des notes de rançon. Des centaines de sites compromis ont déjà été indexés par Google.
Le chiffreur Linux ajoute l'extension « .sorry » aux fichiers chiffrés et utilise le chiffre par flot ChaCha20, la clé de chiffrement étant protégée par une clé publique RSA-2048 intégrée. L'expert en rançongiciels Rivitna affirme qu'il est impossible de déchiffrer sans la clé privée RSA-2048 correspondante.
« Dans chaque dossier, une note de rançon nommée README.md est créée, en instruisant la victime de contacter l'acteur de la menace sur Tox pour négocier le paiement d'une rançon », indique le rapport. La note serait la même pour toutes les victimes de cette campagne et inclut l'ID Tox 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Les chercheurs ont noté que la campagne actuelle n'est pas liée à une opération de rançongiciel de 2018 qui utilisait également l'extension « .sorry ».
Tous les utilisateurs de cPanel et WHM sont priés d'installer immédiatement les mises à jour de sécurité disponibles, car les attaques ne font que commencer et devraient s'intensifier dans les prochains jours et semaines.
Sources :