עדכון חירום בעקבות ניצול פעיל

פגיעות חדשה ב-cPanel, שמסומנת כ-CVE-2026-41940, מנוצלת בהיקף רחב במתקפות כופר שחודרות לאתרים ומצפינות נתונים, כך על פי חוקרים ודיווחים על אירועים.

השבוע הוציאו WHM ו-cPanel עדכון חירום לתיקון שגיאת עקיפת אימות קריטית שיכולה לאפשר לתוקפים גישה ללוחות הבקרה. WHM ו-cPanel הם כלים להוסטינג מבוססי Linux המשמשים לניהול שרתים ואתרים, כאשר WHM מטפל בניהול ברמת השרת ו-cPanel מספק גישה לממשקי ניהול אתרים, webmail ומסדי נתונים.

מיד אחרי פרסום התיקון, דווח כי הפגם מנוצל בשטח כ-zero-day, עם ניסיונות ניצול שחוזרים עד לסוף פברואר. משמרת האבטחה Shadowserver מדווחת שלפחות 44,000 כתובות IP שמריצות cPanel הושפעו מאז בניצולים שוטפים.

מקורות שונים סיפרו ל-BleepingComputer שהאקרים מנצלים את הפגם מאז יום חמישי כדי לפרוץ לשרתים ולפרוס חיוג הצפנה ל-Linux שנכתב ב-Go ומשויך למשפחת הכופר "Sorry". מאז התפשטו דיווחים על אתרים שנפגעו, כולל פוסטים בפורומים של קורבנות שמשתפים דוגמאות של קבצים מוצפנים ותכני הודעות הכופר. מאות אתרים שנפרצו כבר נסרקו ואונדקסו על ידי Google.

מכונת ההצפנה ל-Linux מוסיפה סיומת ".sorry" לקבצים המוצפנים ומשתמשת בצופן זרם ChaCha20, כאשר מפתח ההצפנה מוגן על ידי מפתח ציבורי RSA-2048 מוטמע. מומחה לכופר, Rivitna, אומר שאין אפשרות לפענח את הקבצים ללא המפתח הפרטי התואם של RSA-2048.

"בכל תיקייה נוצרת הודעת כופר בשם README.md שמנחה את הקורבן ליצור קשר עם שחקן האיום ב-Tox כדי לנהל משא ומתן על תשלום כופר," נכתב בדיווח. ההודעה, לפי הדיווחים, זהה בין הקורבנות בקמפיין זה וכוללת את Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.

החוקרים ציינו שהקמפיין הנוכחי אינו קשור למבצע כופר משנת 2018 ששימש גם הוא בסיומת ".sorry".

מומלץ לכל משתמשי cPanel ו-WHM להתקין באופן מיידי את עדכוני האבטחה הזמינים, מכיוון שהמתקפות רק מתחילות וצפויות להחריף בימים ובשבועות הקרובים.

מקורות:

bleepingcomputer.com