긴급 패치 — 활발한 악용에 따른 대응

새로 공개된 cPanel 취약점(CVE-2026-41940)이 웹사이트를 침해하고 데이터를 암호화하는 랜섬웨어 공격에서 대량으로 악용되고 있다고 연구진과 사고 보고서들이 전했습니다.

이번 주 WHM과 cPanel은 공격자가 컨트롤 패널에 접근할 수 있게 하는 치명적인 인증 우회 취약점을 수정하기 위해 긴급 업데이트를 발표했습니다. WHM과 cPanel은 서버와 웹사이트 관리를 위해 사용되는 Linux 기반 호스팅 도구로, WHM은 서버 수준 관리, cPanel은 웹사이트 백엔드, 웹메일 및 데이터베이스 접근을 제공합니다.

패치가 공개된 직후 해당 취약점은 제로데이로서 활발히 악용되고 있는 것으로 보고되었으며, 악용 시도는 2월 말까지 거슬러 올라갑니다. 인터넷 보안 감시단체 Shadowserver는 이후 cPanel을 실행 중인 최소 44,000개의 IP 주소가 계속되는 공격으로 인해 이미 침해되었다고 밝혔습니다.

여러 소식통은 BleepingComputer에 해커들이 목요일부터 이 취약점을 이용해 서버에 침투하고 Go 기반의 Linux 암호화기를 배포해 “Sorry” 랜섬웨어 계열과 연계된 활동을 벌여왔다고 전했습니다. 피해를 입은 웹사이트에 대한 보고도 확산되어 피해자들이 암호화된 파일 샘플과 몸값 메시지 내용을 공유하는 포럼 게시물이 올라왔습니다. 이미 수백 개의 침해된 사이트가 Google에 색인화되었습니다.

이 Linux 암호화기는 암호화된 파일에 ".sorry" 확장자를 추가하며 ChaCha20 스트림 사이퍼를 사용하고, 암호화 키는 내장된 RSA-2048 공개키로 보호됩니다. 랜섬웨어 전문가 Rivitna는 일치하는 개인 RSA-2048 키 없이는 복호화가 불가능하다고 말합니다.

“각 폴더마다 README.md라는 이름의 몸값 문서가 생성되어 피해자에게 Tox를 통해 위협 행위자와 연락해 몸값 협상을 하라고 지시한다”고 보고서는 전했습니다. 해당 문서는 이번 캠페인 피해자들 사이에서 동일한 것으로 알려졌으며 Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724가 포함되어 있습니다.

연구자들은 현재의 캠페인이 2018년에 ".sorry" 확장자를 사용했던 랜섬웨어 활동과는 관련이 없다고 지적했습니다.

모든 cPanel 및 WHM 사용자는 공격이 이제 막 시작되었고 향후 며칠 및 몇 주 동안 심화될 것으로 예상되므로 이용 가능한 보안 업데이트를 즉시 설치할 것을 강력히 권고받고 있습니다.

출처:

bleepingcomputer.com