Kelemahan kritis cPanel dieksploitasi dalam serangan ransomware “Sorry”
Patch darurat menyusul eksploitasi aktif
Kerentanan cPanel yang baru diungkap dan diberi kode CVE-2026-41940 sedang dieksploitasi secara massal dalam serangan ransomware yang meretas situs web dan mengenkripsi data, menurut peneliti dan laporan insiden.
Minggu ini, WHM dan cPanel merilis pembaruan darurat untuk memperbaiki celah bypass otentikasi kritis yang dapat memungkinkan penyerang mengakses control panel. WHM dan cPanel adalah alat hosting berbasis Linux yang digunakan untuk mengelola server dan situs web, dimana WHM menangani administrasi tingkat server dan cPanel memberikan akses ke backend situs web, webmail, dan basis data.
Tak lama setelah perbaikan dirilis, celah tersebut dilaporkan sedang dieksploitasi di alam liar sebagai zero-day, dengan upaya eksploitasi yang dilaporkan sejak akhir Februari. Pengawas keamanan internet Shadowserver mengatakan setidaknya 44.000 alamat IP yang menjalankan cPanel telah dikompromikan dalam serangan yang sedang berlangsung.
Beberapa sumber mengatakan kepada BleepingComputer bahwa peretas telah memanfaatkan celah itu sejak Kamis untuk masuk ke server dan menyebarkan sebuah enkriptor Linux berbasis Go yang terkait dengan keluarga ransomware “Sorry”. Laporan tentang situs yang terdampak pun menyebar, termasuk posting forum dari korban yang membagikan contoh file terenkripsi dan isi catatan pemerasan. Ratusan situs yang dikompromikan telah diindeks di Google.
Enkriptor Linux tersebut menambahkan ekstensi ".sorry" pada file yang dienkripsi dan menggunakan stream cipher ChaCha20, dengan kunci enkripsi dilindungi oleh kunci publik RSA-2048 yang disematkan. Pakar ransomware Rivitna mengatakan dekripsi tidak mungkin tanpa kunci privat RSA-2048 yang cocok.
"Di setiap folder, dibuat catatan pemerasan bernama README.md yang menginstruksikan korban untuk menghubungi pelaku ancaman di Tox untuk menegosiasikan pembayaran tebusan," kata laporan tersebut. Catatan itu dilaporkan sama di antara korban dalam kampanye ini dan mencantumkan Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Para peneliti mencatat kampanye saat ini tidak terkait dengan operasi ransomware tahun 2018 yang juga menggunakan ekstensi ".sorry".
Semua pengguna cPanel dan WHM diminta untuk segera menginstal pembaruan keamanan yang tersedia karena serangan baru saja dimulai dan diperkirakan akan meningkat dalam beberapa hari dan minggu mendatang.
Sources: