Falha crítica no cPanel explorada em ataques de ransomware “Sorry”
Atualização de emergência após exploração ativa
Uma vulnerabilidade do cPanel recém-divulgada, rastreada como CVE-2026-41940, está sendo explorada em massa em ataques de ransomware que invadem sites e criptografam dados, segundo pesquisadores e relatórios de incidentes.
Nesta semana, WHM e cPanel lançaram uma atualização de emergência para corrigir uma falha crítica de bypass de autenticação que pode permitir que atacantes acessem painéis de controle. WHM e cPanel são ferramentas de hospedagem baseadas em Linux usadas para gerenciar servidores e sites, com o WHM lidando com a administração em nível de servidor e o cPanel fornecendo acesso aos backends dos sites, webmail e bancos de dados.
Logo após a correção ser liberada, a falha foi relatada como explorada ativamente em ambiente real como um dia zero, com tentativas de exploração datando do final de fevereiro. O grupo de vigilância de segurança da internet Shadowserver diz que pelo menos 44.000 endereços IP executando cPanel foram comprometidos desde então em ataques em andamento.
Múltiplas fontes disseram ao BleepingComputer que hackers vêm usando a falha desde quinta-feira para invadir servidores e implantar um encryptor para Linux escrito em Go ligado à família de ransomware “Sorry”. Relatos de sites afetados se espalharam, incluindo postagens em fóruns de vítimas compartilhando amostras de arquivos criptografados e o conteúdo das notas de resgate. Centenas de sites comprometidos já foram indexados pelo Google.
O encryptor para Linux adiciona a extensão ".sorry" aos arquivos criptografados e usa o fluxo de cifra ChaCha20, com a chave de criptografia protegida por uma chave pública RSA-2048 embutida. O especialista em ransomware Rivitna afirma que a descriptografia não é possível sem a chave privada RSA-2048 correspondente.
"Em cada pasta, uma nota de resgate chamada README.md é criada, instruindo a vítima a contatar o ator de ameaça via Tox para negociar o pagamento do resgate", disse o relatório. A nota é relatada como sendo a mesma entre as vítimas nesta campanha e inclui o ID Tox 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Pesquisadores notaram que a campanha atual não está relacionada a uma operação de ransomware de 2018 que também usou a extensão ".sorry".
Todos os usuários de cPanel e WHM estão sendo instados a instalar as atualizações de segurança disponíveis imediatamente, já que os ataques estão apenas começando e devem se intensificar nos próximos dias e semanas.
Fontes: