Kecacatan cPanel Kritikal Dieksploitasi dalam Serangan Ransomware “Sorry”
Tampalan kecemasan susulan eksploitasi aktif
Kelemahan cPanel yang baru didedahkan, dikesan sebagai CVE-2026-41940, sedang dieksploitasi secara besar-besaran dalam serangan ransomware yang menceroboh laman web dan menyulitkan data, menurut penyelidik dan laporan insiden.
Minggu ini, WHM dan cPanel mengeluarkan kemaskini kecemasan untuk memperbaiki kelemahan lompang pengesahan kritikal yang boleh membenarkan penyerang mengakses panel kawalan. WHM dan cPanel adalah alat penghosan berasaskan Linux yang digunakan untuk mengurus pelayan dan laman web, dengan WHM mengendalikan pentadbiran pada peringkat pelayan dan cPanel menyediakan akses kepada bahagian belakang laman web, webmail, dan pangkalan data.
Tidak lama selepas pembaikan dikeluarkan, kelemahan itu dilaporkan sedang dieksploitasi secara aktif di alam liar sebagai zero-day, dengan percubaan eksploitasi bermula sejak akhir Februari. Pengawas keselamatan internet Shadowserver mengatakan sekurang-kurangnya 44,000 alamat IP yang menjalankan cPanel telah dikompromi dalam serangan yang sedang berlangsung.
Beberapa sumber memberitahu BleepingComputer bahawa penggodam telah menggunakan kelemahan itu sejak Khamis untuk menyusup ke dalam pelayan dan menyebarkan penyulit Linux berasaskan Go yang dikaitkan dengan keluarga ransomware “Sorry”. Laporan mengenai laman web yang terjejas telah merebak, termasuk catatan forum daripada mangsa yang berkongsi sampel fail yang disulitkan dan kandungan nota ugutan. Ratusan tapak yang dikompromi sudah diindeks di Google.
Penyulit Linux menambah sambungan “.sorry” pada fail yang disulitkan dan menggunakan cipher aliran ChaCha20, dengan kunci penyulitan dilindungi oleh kunci awam RSA-2048 terbenam. Pakar ransomware Rivitna berkata penyahsulitan tidak mungkin dilakukan tanpa kunci peribadi RSA-2048 yang sepadan.
“Dalam setiap folder, sebuah nota ugutan bernama README.md dibuat, mengarahkan mangsa untuk menghubungi pelaku ancaman di Tox untuk merundingkan pembayaran tebusan,” menurut laporan itu. Dilaporkan nota tersebut adalah sama bagi semua mangsa dalam kempen ini dan termasuk Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Penyelidik menyatakan kempen semasa tidak berkaitan dengan operasi ransomware 2018 yang juga menggunakan sambungan “.sorry”.
Semua pengguna cPanel dan WHM disarankan untuk memasang kemaskini keselamatan yang tersedia dengan segera kerana serangan baru bermula dan dijangka akan meningkat dalam beberapa hari dan minggu akan datang.
Sumber: