Lỗ hổng cPanel nghiêm trọng bị lợi dụng trong các cuộc tấn công ransomware “Sorry”
Bản vá khẩn cấp được phát hành sau khi bị khai thác tích cực
Một lỗ hổng mới được tiết lộ trên cPanel, được theo dõi với mã CVE-2026-41940, đang bị khai thác hàng loạt trong các cuộc tấn công ransomware xâm nhập website và mã hóa dữ liệu, theo các nhà nghiên cứu và báo cáo sự cố.
Trong tuần này, WHM và cPanel đã phát hành một bản cập nhật khẩn cấp để sửa một lỗ hổng bỏ qua xác thực nghiêm trọng có thể cho phép kẻ tấn công truy cập vào bảng điều khiển. WHM và cPanel là các công cụ lưu trữ dựa trên Linux dùng để quản lý server và website, trong đó WHM xử lý quản trị ở cấp server còn cPanel cung cấp truy cập vào phần backend của website, webmail và cơ sở dữ liệu.
Ngay sau khi bản sửa được phát hành, lỗ hổng này được báo cáo là đang bị khai thác trong thực địa như một zero-day, với các cố gắng khai thác có từ cuối tháng Hai. Tổ chức giám sát an ninh mạng Shadowserver cho biết ít nhất 44.000 địa chỉ IP chạy cPanel kể từ đó đã bị xâm phạm trong các cuộc tấn công đang diễn ra.
Nhiều nguồn tin nói với BleepingComputer rằng các hacker đã sử dụng lỗ hổng này từ thứ Năm để xâm nhập server và triển khai một encryptor cho Linux viết bằng Go liên quan đến họ ransomware “Sorry”. Các báo cáo về website bị ảnh hưởng đã lan rộng, bao gồm các bài đăng trên diễn đàn từ nạn nhân chia sẻ mẫu tệp bị mã hóa và nội dung thông báo đòi tiền chuộc. Hàng trăm site bị xâm phạm đã được Google lập chỉ mục.
Chương trình encryptor cho Linux thêm phần mở rộng “.sorry” vào các tệp đã bị mã hóa và sử dụng bộ mã luồng ChaCha20, với khóa mã hóa được bảo vệ bởi một khóa public RSA-2048 nhúng. Chuyên gia về ransomware Rivitna cho biết việc giải mã là không thể nếu không có khóa private RSA-2048 tương ứng.
“Trong mỗi thư mục, một thông báo đòi tiền chuộc có tên README.md được tạo, hướng dẫn nạn nhân liên hệ với tác nhân gây hại trên Tox để thương lượng việc trả tiền chuộc,” báo cáo cho biết. Thông báo này được cho là giống nhau ở các nạn nhân trong chiến dịch và bao gồm Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724.
Các nhà nghiên cứu lưu ý rằng chiến dịch hiện tại không liên quan đến một chiến dịch ransomware năm 2018 cũng sử dụng phần mở rộng “.sorry”.
Tất cả người dùng cPanel và WHM được kêu gọi cài đặt các bản cập nhật bảo mật có sẵn ngay lập tức vì các cuộc tấn công mới chỉ bắt đầu và được dự đoán sẽ gia tăng trong những ngày và tuần tới.
Nguồn: