Критическая уязвимость cPanel используется в атаках вымогателя «Sorry»
Экстренное обновление после активной эксплуатации
Недавно раскрытая уязвимость cPanel, обозначенная как CVE-2026-41940, массово эксплуатируется в рамках атак вымогателя, которые взламывают сайты и шифруют данные, сообщают исследователи и отчёты об инцидентах.
На этой неделе WHM и cPanel выпустили экстренное обновление для исправления критической уязвимости обхода аутентификации, которая может позволить злоумышленникам получить доступ к панелям управления. WHM и cPanel — это инструменты хостинга на базе Linux, используемые для управления серверами и веб-сайтами: WHM отвечает за администрирование на уровне сервера, а cPanel предоставляет доступ к бэкенду сайта, webmail и базам данных.
Вскоре после выпуска исправления было заявлено, что уязвимость активно эксплуатируется в реальной среде как zero-day, при этом попытки эксплуатации датируются концом февраля. Наблюдатель интернет-безопасности Shadowserver сообщает, что как минимум 44 000 IP-адресов с запущенным cPanel были скомпрометированы в рамках продолжающихся атак.
Несколько источников сообщили BleepingComputer, что хакеры используют уязвимость с четверга, чтобы взламывать серверы и развёртывать шифратор для Linux на базе Go, связанный с семейством вымогателя «Sorry». Сообщения о поражённых сайтах уже распространяются, включая записи на форумах от жертв с образцами зашифрованных файлов и содержимым записок с требованием выкупа. Сотни скомпрометированных сайтов уже проиндексированы Google.
Шифратор для Linux добавляет расширение ".sorry" к зашифрованным файлам и использует потоковый шифр ChaCha20, при этом ключ шифрования защищён встроенным публичным ключом RSA-2048. Эксперт по вымогателю Rivitna отмечает, что расшифровать файлы невозможно без соответствующего приватного ключа RSA-2048.
«В каждой папке создаётся записка с требованием выкупа под названием README.md, в которой жертве предлагается связаться с актёром угрозы через Tox для переговоров о платеже выкупа», — говорится в отчёте. Сообщается, что записка одинакова у всех жертв в этой кампании и содержит Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Исследователи отметили, что текущая кампания не связана с операцией вымогателя 2018 года, которая также использовала расширение ".sorry".
Всех пользователей cPanel и WHM настоятельно призывают немедленно установить доступные обновления безопасности, поскольку атаки только начинаются и, как ожидается, будут усиливаться в ближайшие дни и недели.
Источники: