Hitilafu hatari ya cPanel ikitumiwa katika mashambulizi ya ransomware ya “Sorry”
Sasisho la dharura linafuata utumiaji wa vitendo
Udhuru mpya wa cPanel uliotangazwa na kupewa nambari CVE-2026-41940 unatumika kwa wingi katika mashambulizi ya ransomware yanayovamia tovuti na kusimba data, kwa mujibu wa watafiti na ripoti za matukio.
Wiki hii, WHM na cPanel walitoa sasisho la dharura kukarabati hitilafu muhimu ya kupitiliza uthibitishaji (authentication bypass) ambayo inaweza kumruhusu mshambuliaji kufikia paneli za udhibiti. WHM na cPanel ni zana za mwenyeji zinazotegemea Linux zinazotumika kusimamia seva na tovuti, ambapo WHM hushughulikia usimamizi wa ngazi ya seva na cPanel ikitoa ufikiaji wa backend za tovuti, webmail, na hifadhidata.
Mara tu baada ya marekebisho kutolewa, hitilafu iliripotiwa kutumika kwa vitendo kama zero-day, na jaribio za utumiaji zikianzia mwishoni mwa Februari. Shirika la ulinzi wa mtandao Shadowserver linasema angalau anwani 44,000 za IP zilizokuwa zikifanya kazi na cPanel zimetumbukia tangu wakati huo katika mashambulizi yanayoendelea.
Vyanzo kadhaa vilimwambia BleepingComputer kwamba wahalifu wamekuwa wakitumia hitilafu hiyo tangu Alhamisi kuvamia seva na kuzungusha programu ya kusimba Linux iliyotengenezwa kwa Go inayohusishwa na familia ya ransomware ya “Sorry”. Ripoti za tovuti zilizoathiriwa zimeenea tangu wakati huo, ikiwa ni pamoja na machapisho kwenye majukwaa kutoka kwa waathirika wanashiriki sampuli za faili zilizosimbwa na yaliyomo kwenye noti za kulipwa fidia. Mamia ya tovuti zilizotumbukia tayari zimeorodheshwa kwenye Google.
Programu ya kusimba ya Linux inaongeza kificho cha ".sorry" kwenye faili zilizofichwa na kutumia cipher ya mfululizo ChaCha20, ambapo ufunguo wa kusimba umehifadhiwa kwa kutumia ufunguo wa umma wa RSA-2048 uliowekwa ndani. Mtaalam wa ransomware Rivitna anasema kufungua tena (decryption) haiwezekani bila ufunguo binafsi wa RSA-2048 unaolingana.
"Katika kila folda, noti ya fidia iitwayo README.md inaundwa, ikimuamuru mwathirika kuwasiliana na muuaji kwenye Tox ili kujadiliana kuhusu malipo ya fidia," ripoti ilisema. Noti hiyo inaripotiwa kuwa ile ile kwa waathirika wote katika kampeni hii na inajumuisha Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Watafiti walibaini kwamba kampeni ya sasa haina uhusiano na operesheni ya ransomware ya 2018 ambayo pia ilitumia kificho ".sorry".
Watumiaji wote wa cPanel na WHM wanahimizwa kufunga sasisho za usalama zinazopatikana mara moja kwani mashambulizi yapo tu mwanzoni na yanatarajiwa kuongezeka siku na wiki zijazo.
Vyanzo: