“Sorry” fidye yazılımı saldırılarında sömürülen kritik cPanel açığı
Aktif sömürü sonrası acil güncelleme
Yeni açıklanan bir cPanel güvenlik açığı, CVE-2026-41940 olarak izlenen bir zafiyet, web sitelerini ihlal eden ve verileri şifreleyen fidye yazılımı saldırılarında kitlesel olarak sömürülüyor; bunu araştırmacılar ve olay raporları bildiriyor.
Bu hafta WHM ve cPanel, saldırganların kontrol panellerine erişmesine izin verebilecek kritik bir kimlik doğrulama atlatma açığını düzeltmek için acil bir güncelleme yayınladı. WHM ve cPanel, sunucuları ve web sitelerini yönetmek için kullanılan Linux tabanlı barındırma araçlarıdır; WHM sunucu düzeyinde yönetimi, cPanel ise web sitesi arka uçlarına, webmail'e ve veritabanlarına erişimi sağlar.
Yama yayınlandıktan kısa süre sonra, açıklanan zafiyetin sıfırıncı gün olarak aktif şekilde sömürüldüğü bildirildi; sömürü denemeleri Şubat ayı sonlarına kadar izlenebiliyor. İnternet güvenliği bekçisi Shadowserver, o tarihten bu yana en az 44.000 cPanel çalıştıran IP adresinin devam eden saldırılarda ele geçirildiğini söylüyor.
Birden fazla kaynak BleepingComputer'a, bilgisayar korsanlarının Perşembe gününden beri bu açığı kullanarak sunuculara girip “Sorry” fidye yazılımı ailesiyle bağlantılı Go tabanlı bir Linux şifreleyici dağıttıklarını söyledi. Etkilenen web sitelerine dair raporlar yayılmaya başladı; mağdurların şifrelenmiş dosya örneklerini ve fidye notu içeriklerini paylaştığı forum gönderileri dahil olmak üzere bildirimler yayıldı. Yüzlerce kompromize site çoktan Google'da indekslendi.
Linux şifreleyici, şifrelenen dosyalara “.sorry” uzantısı ekliyor ve ChaCha20 akış şifresini kullanıyor; şifreleme anahtarı, gömülü bir RSA-2048 açık anahtar ile korunuyor. Fidye yazılımı uzmanı Rivitna'ya göre, eşleşen özel RSA-2048 anahtarı olmadan şifre çözme mümkün değil.
"Her klasörde README.md adlı bir fidye notu oluşturuluyor; mağdura Tox üzerinden tehdit aktörüyle iletişime geçip fidye pazarlığı yapması talimatı veriliyor," raporda deniyor. Notun bu kampanyadaki mağdurlar arasında aynı olduğu ve Tox ID'sinin 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724 olduğu bildirildi.
Araştırmacılar, mevcut kampanyanın aynı “.sorry” uzantısını kullanan 2018 tarihli bir fidye operasyonuyla ilişkili olmadığını belirtti.
Bütün cPanel ve WHM kullanıcılarına, saldırıların henüz yeni başladığı ve önümüzdeki günlerde ile haftalarda yoğunlaşmasının beklendiği için mevcut güvenlik güncellemelerini derhal yüklemeleri çağrısı yapılıyor.
Kaynaklar: