Cybersecuritynews

Kritikal na kahinaan sa cPanel sinasamantala sa mga pag-atake ng ransomware na 'Sorry'

ni Doppler Team3 min basahin
Kritikal na kahinaan sa cPanel sinasamantala sa mga pag-atake ng ransomware na 'Sorry'

Agarang pag-patch sumunod sa aktibong pagsasamantala

Isang bagong idineklarang kahinaan sa cPanel na minomonitor bilang CVE-2026-41940 ay malawakang sinasamantala sa mga pag-atake ng ransomware na bumabagsak sa mga website at nag-e-encrypt ng data, ayon sa mga mananaliksik at mga ulat ng insidente.

Ngayong linggo, naglabas ang WHM at cPanel ng isang agarang update para ayusin ang isang kritikal na authentication bypass na depekto na maaaring payagan ang mga attacker na ma-access ang control panels. Ang WHM at cPanel ay mga Linux-based na hosting na tool na ginagamit para pamahalaan ang mga server at website, kung saan ang WHM ang humahawak sa server-level na administrasyon at ang cPanel ang nagbibigay ng access sa mga backend ng website, webmail, at mga database.

Agad pagkatapos ilabas ang patch, iniulat na ang depekto ay aktibong sinasamantala sa wild bilang isang zero-day, na ang mga pagtatangka ng pagsasamantala ay nagsimula pa noong huling bahagi ng Pebrero. Sabi ng internet security watchdog na Shadowserver, hindi bababa sa 44,000 IP addresses na nagpapatakbo ng cPanel ang na-kompromiso na sa nagpapatuloy na mga pag-atake.

Maraming mga source ang nagsabi sa BleepingComputer na gumamit ang mga hacker ng depekto mula pa noong Huwebes para mapasok ang mga server at mag-deploy ng isang Go-based na Linux encryptor na konektado sa ransomware family na 'Sorry'. Kumalat ang mga ulat ng mga naapektuhang website, kabilang ang mga post sa forum mula sa mga biktima na nagbabahagi ng mga sample ng naka-encrypt na file at mga nilalaman ng ransom note. Daang-daang kompromisadong site ang na-index na sa Google.

Ang Linux encryptor ay nag-aappend ng '.sorry' na extension sa mga naka-encrypt na file at gumagamit ng ChaCha20 stream cipher, kung saan ang encryption key ay pinoprotektahan ng isang embedded na RSA-2048 public key. Sabi ng ransomware expert na si Rivitna na hindi posible ang decryption nang walang katugmang private RSA-2048 key.

"Sa bawat folder, gumagawa ng ransom note na pinangalanang README.md na nagsasaad sa biktima na kontakin ang threat actor sa Tox para makipag-negosasyon tungkol sa pagbabayad ng ransom," ayon sa ulat. Ang note ay iniulat na pareho sa lahat ng biktima sa kampanyang ito at naglalaman ng Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.

Tinala ng mga mananaliksik na ang kasalukuyang kampanya ay hindi kaugnay ng isang ransomware operation noong 2018 na gumamit din ng '.sorry' na extension.

Hinimok ang lahat ng mga user ng cPanel at WHM na i-install agad ang magagamit na mga security update dahil nagsisimula pa lamang ang mga pag-atake at inaasahang titindi sa mga susunod na araw at linggo.

Mga Pinagmulan:

Cybersecuritynews

Ibahagi ang artikulo

Protektahan ang iyong pag-browse. Ang Doppler VPN ay hindi nangangailangan ng pagpaparehistro at walang nire-record na log. Subukan nang libre sa loob ng 3 araw.

Subukan nang Libre sa Loob ng 3 Araw