緊急パッチが公開、実際の悪用を受けて

研究者やインシデント報告によると、CVE-2026-41940 として追跡される新たに公開された cPanel の脆弱性が、大規模に悪用されてウェブサイトに侵入しデータを暗号化するランサムウェア攻撃が発生しています。

今週、WHM と cPanel は、コントロールパネルへ不正アクセスを許す重大な認証バイパスの脆弱性を修正する緊急アップデートを公開しました。WHM と cPanel はサーバーやウェブサイトの管理に使われる Linux ベースのホスティングツールで、WHM はサーバー管理レベルを、cPanel はウェブサイトのバックエンド、ウェブメール、データベースへのアクセスを提供します。

修正が公開されるとすぐに、この脆弱性はゼロデイとして実際に悪用されていると報告され、悪用の試みは2月下旬まで遡るとされています。インターネットセキュリティ監視団体 Shadowserver によれば、cPanel を稼働させている少なくとも44,000のIPアドレスがこれらの継続的な攻撃で侵害されたとみられています。

複数の情報筋が BleepingComputer に伝えたところでは、攻撃者は木曜以降この脆弱性を利用してサーバーに侵入し、“Sorry” ランサムウェアファミリーに関連する Go ベースの Linux 暗号化ツールを展開しているとのことです。被害を受けたウェブサイトの報告は広がっており、被害者が暗号化されたファイルのサンプルや身代金要求メモの内容を掲示板に投稿する事例が確認されています。既に数百の侵害サイトが Google にインデックスされています。

この Linux 暗号化ツールは暗号化されたファイルに「.sorry」拡張子を付与し、ChaCha20 ストリーム暗号を使用します。暗号化鍵は埋め込まれた RSA-2048 の公開鍵で保護されており、ランサムウェア専門家の Rivitna は、対応する RSA-2048 の秘密鍵がなければ復号は不可能だと述べています。

「各フォルダに README.md という名前の身代金メモが作成され、被害者に対して Tox で脅威アクターに連絡し身代金の交渉を行うよう指示する」とレポートは伝えています。報告によれば、このメモはこのキャンペーンの被害者間で共通のもので、Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724 を含んでいます。

研究者たちは、現在のキャンペーンは2018年に「.sorry」拡張子を使用した別のランサムウェア作戦とは無関係であると指摘しています。

cPanel および WHM の全ユーザーは、攻撃は始まったばかりで今後数日から数週間で激化すると予想されるため、利用可能なセキュリティアップデートを直ちに適用するよう強く促されています。

情報源:

bleepingcomputer.com