गंभीर cPanel दोष का “सॉरी” रैंसमवेयर हमलों में दुरुपयोग
सक्रिय शोषण के बाद आपातकालीन पैच
शोधकर्ताओं और घटना रिपोर्टों के अनुसार, नवीन रूप से प्रकट हुई cPanel भेद्यता जिसमें CVE-2026-41940 ट्रैक किया गया है, को वेबसाइटों में सेंध लगाने और डेटा एन्क्रिप्ट करने वाले रैंसमवेयर हमलों में बड़े पैमाने पर शोषित किया जा रहा है.
इस सप्ताह, WHM और cPanel ने एक आपातकालीन अपडेट जारी किया ताकि एक गंभीर प्रमाणीकरण बायपास दोष को ठीक किया जा सके जो हमलावरों को नियंत्रण पैनलों तक पहुंचने दे सकता है। WHM और cPanel Linux-आधारित होस्टिंग टूल हैं जिनका उपयोग सर्वरों और वेबसाइटों को प्रबंधित करने के लिए किया जाता है, जहाँ WHM सर्वर-स्तरीय प्रशासन संभालता है और cPanel वेबसाइट बैकएंड, वेबमेल और डेटाबेस तक पहुंच प्रदान करता है।
फिक्स जारी होने के तुरंत बाद, इस दोष की रिपोर्ट जंगली में सक्रिय रूप से शोषित होने की मिली — इसे एक zero-day के रूप में चिन्हित किया गया, और शोषण के प्रयास पिछली फ़रवरी के अंत तक वापस जाते हैं। इंटरनेट सुरक्षा निगरानी संस्था Shadowserver कहती है कि तब से कम से कम 44,000 IP पतों पर चल रहे cPanel लगातार हो रहे हमलों में समझौता किए जा चुके हैं।
कई स्रोतों ने BleepingComputer को बताया कि हैकर्स गुरुवार से इस दोष का इस्तेमाल करके सर्वरों में घुसपैठ कर रहे हैं और Go-आधारित Linux encryptor तैनात कर रहे हैं जो “सॉरी” रैंसमवेयर परिवार से जुड़ा है। प्रभावित वेबसाइटों की रिपोर्टें तब से फैल चुकी हैं, जिनमें पीड़ितों द्वारा साझा किए गए एन्क्रिप्टेड फ़ाइल नमूने और फिरौती नोट की सामग्री वाले फ़ोरम पोस्ट भी शामिल हैं। सैकड़ों समझौता की गई साइटें पहले ही Google में इंडेक्स हो चुकी हैं।
यह Linux encryptor एन्क्रिप्ट की गई फ़ाइलों के अंत में “.sorry” एक्सटेंशन जोड़ता है और ChaCha20 stream cipher का उपयोग करता है, तथा एन्क्रिप्शन कुंजी एक एंबेडेड RSA-2048 public key द्वारा संरक्षित होती है। रैंसमवेयर विशेषज्ञ Rivitna कहते हैं कि मेल खाने वाली निजी RSA-2048 कुंजी के बिना डिक्रिप्शन संभव नहीं है।
"प्रत्येक फ़ोल्डर में README.md नामक एक फिरौती नोट बनाया जाता है, जो पीड़ित को फिरौती भुगतान पर बातचीत करने के लिए खतरे करने वाले अभिनेता से Tox पर संपर्क करने का निर्देश देता है," रिपोर्ट ने कहा। रिपोर्ट के अनुसार इस अभियान के पीड़ितों में यह नोट समान है और इसमें Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724 शामिल है।
शोधकर्ताओं ने बताया कि वर्तमान अभियान 2018 के उस रैंसमवेयर ऑपरेशन से असंबंधित है जिसने भी “.sorry” एक्सटेंशन का इस्तेमाल किया था।
सभी cPanel और WHM उपयोगकर्ताओं से आग्रह किया जा रहा है कि वे उपलब्ध सुरक्षा अपडेट तुरंत इंस्टॉल करें क्योंकि हमले अभी शुरू ही हुए हैं और आने वाले दिनों और हफ्तों में तेज़ होने की उम्मीद है।
स्रोत: