Masowe ataki ransomware „Sorry” wykorzystują krytyczną lukę w cPanel i WHM - Security Bez Tabu

Masowe ataki ransomware „Sorry” wykorzystują krytyczną lukę w cPanel i WHM

Cybersecurity news

Wprowadzenie do problemu / definicja

Krytyczna podatność CVE-2026-41940 w cPanel i WHM stała się celem aktywnych kampanii cyberprzestępczych, w których napastnicy przejmują panele administracyjne serwerów i wdrażają ransomware „Sorry”. Problem dotyczy mechanizmu uwierzytelniania i umożliwia obejście logowania bez znajomości prawidłowych poświadczeń, co stwarza bezpośrednie ryzyko przejęcia środowisk hostingowych.

W praktyce skutkiem udanego ataku może być dostęp do witryn, baz danych, poczty oraz konfiguracji usług zarządzanych przez cPanel i WHM. To szczególnie niebezpieczne w środowiskach współdzielonych, gdzie pojedyncze naruszenie może objąć wielu klientów jednocześnie.

W skrócie

  • CVE-2026-41940 to krytyczna luka typu authentication bypass z oceną CVSS 9.8.
  • Podatność była wykorzystywana aktywnie jeszcze przed pełnym upowszechnieniem poprawek.
  • Atakujący przejmują panele cPanel i WHM, a następnie wdrażają ransomware „Sorry”.
  • Szyfrowane pliki otrzymują rozszerzenie „.sorry”, a w systemie pojawia się nota okupu.
  • Zagrożone są zarówno pojedyncze serwery, jak i duże środowiska hostingu współdzielonego.

Kontekst / historia

cPanel i WHM należą do najczęściej używanych platform do administracji hostingiem w systemach Linux. Z tego powodu każda luka umożliwiająca przejęcie sesji administracyjnej ma poważne konsekwencje operacyjne i może wpływać na dużą liczbę podmiotów jednocześnie.

Producent opublikował awaryjną aktualizację bezpieczeństwa 28 kwietnia 2026 roku. Niedługo później zaczęły pojawiać się publiczne analizy techniczne, informacje o aktywnym wykorzystaniu podatności oraz kod PoC, co znacząco przyspieszyło falę ataków. Dostępne obserwacje wskazują również, że ślady eksploatacji mogły występować już od końca lutego 2026 roku.

To kolejny przykład sytuacji, w której krytyczna luka w warstwie zarządzania infrastrukturą bardzo szybko przechodzi z etapu badań do masowych kampanii operacyjnych. Dla administratorów oznacza to minimalne okno czasowe na wdrożenie aktualizacji i ograniczenie ekspozycji usług.

Analiza techniczna

CVE-2026-41940 jest opisywana jako podatność umożliwiająca obejście uwierzytelniania przed zalogowaniem. Mechanizm ataku wiązano z CRLF injection w procesie logowania i obsługi sesji, co pozwala napastnikowi wpłynąć na sposób zapisu lub interpretacji danych sesyjnych.

W rezultacie intruz może uzyskać nieuprawniony dostęp do panelu WHM z wysokimi uprawnieniami administracyjnymi. Taki poziom dostępu otwiera drogę do przejęcia kont cPanel, odczytu i modyfikacji plików witryn, ingerencji w bazy danych, konfiguracje usług oraz zasoby pocztowe.

W opisywanej kampanii końcowym etapem był deployment linuksowego ransomware „Sorry”, napisanego w języku Go. Szyfrator dodaje rozszerzenie „.sorry” do zaszyfrowanych plików i pozostawia notę okupu w pliku README.md. Analizy wskazują na zastosowanie modelu hybrydowego, w którym dane szyfrowane są z użyciem ChaCha20, a klucz symetryczny zabezpieczany jest osadzonym kluczem publicznym RSA-2048.

Szczególnie groźny jest fakt, że luka dotyczy płaszczyzny administracyjnej. W przypadku hostingu współdzielonego kompromitacja jednego serwera może oznaczać jednoczesne naruszenie wielu domen, skrzynek pocztowych i usług powiązanych z tym samym środowiskiem.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest możliwość pełnego przejęcia kontroli nad serwerem bez wcześniejszego uwierzytelnienia. Dla organizacji oznacza to ryzyko dostępu do danych klientów, poświadczeń, skrzynek pocztowych, ustawień usług oraz materiałów administracyjnych.

Jeśli atak kończy się wdrożeniem ransomware, konsekwencją jest nie tylko utrata dostępności systemów, ale również możliwość trwałej utraty danych, szczególnie gdy kopie zapasowe nie są odseparowane od produkcji. Dodatkowo przy takim poziomie dostępu nie można wykluczyć eksfiltracji danych przed szyfrowaniem, sabotażu konfiguracji lub pozostawienia mechanizmów utrzymania dostępu.

Ryzyko biznesowe jest wyjątkowo wysokie dla firm hostingowych, resellerów i organizacji utrzymujących wiele serwisów w jednym środowisku. Jeden skuteczny incydent może przełożyć się na zakłócenie działania dziesiątek lub setek witryn jednocześnie.

Rekomendacje

Priorytetem powinno być natychmiastowe wdrożenie oficjalnych aktualizacji bezpieczeństwa na wszystkich instancjach cPanel i WHM, również w środowiskach zapasowych, testowych i rzadziej używanych. Jeśli patchowanie nie może zostać wykonane od razu, należy ograniczyć ekspozycję interfejsów administracyjnych do zaufanych adresów IP oraz zastosować odpowiednie filtrowanie na zaporach.

Z perspektywy reagowania na incydenty warto przeanalizować logi dostępu i zdarzenia uwierzytelniania pod kątem nietypowych prób logowania, anomalii w nagłówkach HTTP oraz oznak nieautoryzowanego tworzenia lub modyfikowania sesji. Należy także sprawdzić, czy w systemie nie pojawiły się procesy nieznanego pochodzenia, pliki README.md lub masowe zmiany rozszerzeń na „.sorry”.

  • odseparować i przetestować kopie zapasowe offline lub immutable,
  • rotować hasła administracyjne oraz klucze API po podejrzeniu kompromitacji,
  • zweryfikować integralność kont uprzywilejowanych i zadań cron,
  • przeprowadzić przegląd wskaźników trwałości, takich jak nowe konta, klucze SSH i web shelle,
  • monitorować ruch do portów zarządzających pod kątem skanowania i prób automatycznej eksploatacji.

W przypadku potwierdzonego naruszenia serwer należy traktować jako w pełni skompromitowany. Oznacza to konieczność jego izolacji, przeprowadzenia analizy kryminalistycznej, odbudowy z zaufanych źródeł oraz odtworzenia danych wyłącznie z czystych kopii zapasowych.

Podsumowanie

CVE-2026-41940 to luka o krytycznym znaczeniu, ponieważ uderza bezpośrednio w mechanizmy logowania i zarządzania infrastrukturą hostingową. W połączeniu z aktywną kampanią ransomware „Sorry” tworzy realne zagrożenie dla operatorów serwerów, dostawców hostingu i organizacji utrzymujących wiele usług w jednym środowisku.

Dla administratorów kluczowe są szybkie działania: aktualizacja systemów, ograniczenie dostępu do paneli administracyjnych oraz aktywne poszukiwanie śladów kompromitacji. Opóźnienie reakcji może oznaczać nie tylko infekcję pojedynczej witryny, ale przejęcie całego serwera i wszystkich hostowanych na nim zasobów.

Źródła

  1. https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/
  2. https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026
  3. https://watchtowr.com/resources/2765-rapid-reaction-cpanel-authentication-bypass/
  4. https://censys.com/advisory/cve-2026-41940/
  5. https://www.cyber.gc.ca/en/alerts-advisories/al26-008-vulnerability-affecting-cpanel-webhost-manager-whm-cve-2026-41940