紧急补丁针对主动利用

研究人员和事故报告称，一个新披露的 cPanel 漏洞，编号为 CVE-2026-41940，正在被大规模利用于入侵网站并加密数据的勒索软件攻击中。

本周，WHM 和 cPanel 发布了紧急更新，以修复一个严重的认证绕过漏洞，该漏洞可能允许攻击者访问控制面板。WHM 和 cPanel 是用于管理服务器和网站的基于 Linux 的托管工具，WHM 负责服务器级别的管理，而 cPanel 为网站后端、webmail 和数据库提供访问。

修复发布后不久，该漏洞被报告为在野外作为零日被主动利用，利用尝试可以追溯到二月下旬。互联网安全观察组织 Shadowserver 表示，至少有 44,000 个运行 cPanel 的 IP 地址在持续的攻击中已被入侵。

多方消息告诉 BleepingComputer，黑客自周四起一直利用该漏洞入侵服务器并部署与“Sorry”勒索软件家族相关的基于 Go 的 Linux 加密器。受影响网站的报告随后广泛传播，包括受害者在论坛上分享的被加密文件样本和赎金说明内容。数百个被入侵的网站已被 Google 索引。

该 Linux 加密器会在被加密文件名后追加 “.sorry” 扩展名，并使用 ChaCha20 流密码，加密密钥由嵌入的 RSA-2048 公钥保护。勒索软件专家 Rivitna 表示，没有相应的私有 RSA-2048 密钥就无法解密。

“在每个文件夹中，会创建名为 README.md 的赎金说明文件，指示受害者通过 Tox 联系威胁行为者以协商赎金支付，”报告写道。据称，此活动中的赎金说明在各受害者之间相同，并包含 Tox ID 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724。

研究人员指出，目前的活动与 2018 年同样使用 “.sorry” 扩展名的勒索软件行动无关。

所有 cPanel 和 WHM 用户被敦促立即安装可用的安全更新，因为攻击才刚刚开始，预计在接下来的几天和几周内会加剧。

来源：

bleepingcomputer.com