“سوری” رینسم ویئر حملوں میں سی پینل کی سنگین خامی کا استحصال
ہنگامی پیچ جاری، فعال استحصال کے بعد
ایک نئی افشا کی گئی سی پینل کمزوری جسے CVE-2026-41940 کے طور پر ٹریک کیا جا رہا ہے، رینسم ویئر حملوں میں بڑے پیمانے پر استحصال ہو رہی ہے جو ویب سائٹس میں دراندازی کر کے ڈیٹا کو انکرپٹ کر دیتی ہیں، محققین اور واقعہ رپورٹس کے مطابق۔
اس ہفتے، ڈبلیو ایچ ایم اور سی پینل نے ایک ہنگامی اپ ڈیٹ جاری کی تاکہ ایک سنگین توثیق بائی پاس خامی کو درست کیا جا سکے جو حملہ آوروں کو کنٹرول پینلز تک رسائی دے سکتی ہے۔ ڈبلیو ایچ ایم اور سی پینل سرورز اور ویب سائٹس کے انتظام کے لیے استعمال ہونے والے لینکس بیسڈ ہوسٹنگ ٹولز ہیں، جہاں ڈبلیو ایچ ایم سرور سطح کی انتظام کاری کو ہینڈل کرتا ہے اور سی پینل ویب سائٹ بیک اینڈ، ویب میل اور ڈیٹا بیسز تک رسائی فراہم کرتا ہے۔
فکس جاری ہونے کے فوراً بعد، اس خامی کی وائلڈ میں بطور زیرو ڈے فعال استحصال کی رپورٹیں آئیں، اور استحصال کی کوششوں کی تاریخ فروری کے آخر تک جاتی ہے۔ انٹرنیٹ سیکیورٹی واچڈاگ Shadowserver کہتا ہے کہ کم از کم 44,000 IP پتوں والے سی پینل انسٹال ہونا والے سسٹمز اس کے بعد جاری حملوں میں سمجھوتہ کئے جا چکے ہیں۔
متعدد ذرائع نے BleepingComputer کو بتایا کہ ہیکرز نے جمعرات کے بعد سے اس خامی کا استعمال کر کے سرورز میں داخلہ حاصل کیا اور "سوری" رینسم ویئر فیملی سے متعلق ایک گو پر مبنی لینکس انکرپٹر تعینات کیا۔ متاثرہ ویب سائٹس کی رپورٹس پھیل گئی ہیں، جن میں متاثرین کے فورم پوسٹس شامل ہیں جو انکرپٹ شدہ فائلوں کے نمونے اور رینسم نوٹ کے مندرجات شیئر کر رہے ہیں۔ سیکڑوں سمجھوتہ شدہ سائٹس پہلے ہی Google میں انڈیکس ہو چکی ہیں۔
یہ لینکس انکرپٹر اینکرپٹ شدہ فائلوں کے آخر میں ".sorry" توسیع جوڑتا ہے اور ChaCha20 اسٹریم سائفر استعمال کرتا ہے، جبکہ انکرپشن کی کلید ایک ایمبیڈڈ آر ایس اے-2048 پبلک کی کے ذریعے محفوظ کی گئی ہے۔ رینسم ویئر ماہر Rivitna کے مطابق مناسب نجی آر ایس اے-2048 کلید کے بغیر ڈی کرپشن ممکن نہیں ہے۔
"ہر فولڈر میں README.md نامی ایک رینسم نوٹ بنایا جاتا ہے جو متاثرہ فریق کو خطرہ آور سے Tox پر رابطہ کر کے تاوان کی ادائیگی پر بات چیت کرنے کی ہدایت کرتا ہے،" رپورٹ میں کہا گیا۔ کہا جاتا ہے کہ یہ نوٹ اس مہم کے متاثرین کے درمیان یکساں ہے اور اس میں Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724 شامل ہے۔
محققین نے نوٹ کیا کہ موجودہ مہم کا تعلق 2018 کی ایک رینسم ویئر کارروائی سے نہیں ہے جس نے بھی ".sorry" توسیع استعمال کی تھی۔
تمام سی پینل اور ڈبلیو ایچ ایم صارفین کو دستیاب سیکیورٹی اپ ڈیٹس فوری طور پر نصب کرنے کی ہدایت کی جا رہی ہے کیونکہ حملے ابھی شروع ہی ہوئے ہیں اور توقع ہے کہ آنے والے دنوں اور ہفتوں میں شدت اختیار کریں گے۔
ذرائع: