Krytyczna luka w cPanel i WHM wykorzystywana w atakach ransomware Sorry - Security Bez Tabu

Krytyczna luka w cPanel i WHM wykorzystywana w atakach ransomware Sorry

Cybersecurity news

Wprowadzenie do problemu / definicja

Krytyczna podatność CVE-2026-41940 w cPanel i WHM stała się celem aktywnych kampanii kompromitacji serwerów hostingowych. Problem dotyczy obejścia mechanizmu uwierzytelniania, co pozwala zdalnemu, nieautoryzowanemu atakującemu uzyskać dostęp do panelu administracyjnego i przejąć kontrolę nad środowiskiem.

W praktyce luka została już powiązana z wdrażaniem linuksowego ransomware „Sorry”, które szyfruje dane na serwerach i witrynach internetowych. Dla operatorów hostingu i administratorów oznacza to incydent o najwyższym priorytecie, ponieważ przejęcie panelu zarządzania otwiera drogę do pełnej kompromitacji usług, danych i kopii zapasowych.

W skrócie

  • CVE-2026-41940 to krytyczna luka typu authentication bypass w cPanel oraz WHM.
  • Podatność była wykorzystywana jako zero-day jeszcze przed publikacją poprawek.
  • W zaobserwowanych incydentach atakujący wdrażali ransomware „Sorry”, szyfrujące pliki i dodające rozszerzenie „.sorry”.
  • Po ataku na serwerach pojawiały się noty okupu w plikach README.md.
  • Administratorzy powinni niezwłocznie zaktualizować oprogramowanie, przejrzeć logi oraz przeprowadzić rotację poświadczeń.

Kontekst / historia

Podatność została ujawniona publicznie pod koniec kwietnia 2026 roku, a poprawki bezpieczeństwa opublikowano 28 kwietnia 2026 r. Wkrótce potem pojawiły się doniesienia o aktywnym wykorzystaniu luki w środowiskach produkcyjnych, przy czym ślady eksploatacji miały sięgać co najmniej końca lutego 2026 r.

Sprawa szybko zyskała znaczenie operacyjne, ponieważ podatność trafiła również do katalogu Known Exploited Vulnerabilities. To istotny sygnał dla organizacji, że luka nie ma wyłącznie charakteru teoretycznego, lecz jest realnie wykorzystywana w atakach.

Skala ryzyka jest szczególnie wysoka w branży hostingowej. cPanel i WHM są kluczowymi komponentami zarządzania usługami WWW, pocztą, bazami danych, użytkownikami i kopiami zapasowymi. Ich kompromitacja może oznaczać przejęcie całego środowiska klienta lub wielu środowisk jednocześnie.

Analiza techniczna

CVE-2026-41940 została opisana jako luka umożliwiająca obejście uwierzytelniania w procesie logowania. W praktyce zdalny napastnik może uzyskać nieautoryzowany dostęp do panelu bez użycia prawidłowych poświadczeń, co czyni tę podatność wyjątkowo niebezpieczną.

Publiczne analizy wskazują, że exploitacja wiąże się z manipulacją mechanizmem sesji i logowania. Atakujący może doprowadzić do utworzenia lub podmiany stanu sesji w taki sposób, aby aplikacja zaakceptowała go jako użytkownika uprzywilejowanego. W panelach administracyjnych hostingu taki scenariusz oznacza możliwość uzyskania dostępu do konfiguracji usług, kont użytkowników, plików witryn oraz wrażliwych danych operacyjnych.

W zaobserwowanych kampaniach końcowym ładunkiem był ransomware „Sorry” przeznaczony dla systemów Linux. Złośliwe oprogramowanie dopisuje do zaszyfrowanych plików rozszerzenie „.sorry” i pozostawia notę okupu w plikach README.md. Analizy przypisują mu wykorzystanie szyfru strumieniowego ChaCha20 do szyfrowania danych oraz mechanizmu RSA-2048 do ochrony klucza szyfrującego.

Po przejęciu cPanel lub WHM atakujący może wykraczać daleko poza samo szyfrowanie danych. Potencjalny dostęp obejmuje konta hostingowe, zadania cron, konfiguracje usług WWW i pocztowych, pliki kopii zapasowych, a także lokalnie przechowywane poświadczenia. Z tego powodu sama instalacja poprawki po incydencie nie daje pewności, że środowisko jest już bezpieczne.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest pełne przejęcie środowiska hostingowego i szyfrowanie danych produkcyjnych. Dla organizacji oznacza to ryzyko niedostępności stron WWW, utraty dostępu do poczty, kompromitacji baz danych oraz naruszenia poufności danych klientów.

W środowiskach współdzielonych skutki mogą objąć wiele serwisów jednocześnie. Jeden skuteczny atak na panel administracyjny może przełożyć się na incydent wielosystemowy, wpływający na dziesiątki lub setki kont hostowanych na tym samym serwerze.

Wysokie pozostaje również ryzyko ruchu bocznego. Jeśli serwer z cPanel lub WHM ma zaufane połączenia do innych systemów, repozytoriów backupu, zewnętrznych baz danych lub narzędzi administracyjnych, atakujący może rozszerzyć zakres operacji poza pojedynczy host. Dodatkowo nie można wykluczyć kradzieży danych przed ich zaszyfrowaniem, co wpisuje się w model podwójnego wymuszenia.

Szczególne zagrożenie dotyczy kopii zapasowych dostępnych online. Jeżeli backupy były stale podłączone, dostępne przez zapisane poświadczenia lub przechowywane bez separacji uprawnień, mogły zostać zaszyfrowane, usunięte lub zmodyfikowane. To znacząco utrudnia odtworzenie usług i wydłuża czas obsługi incydentu.

Rekomendacje

Priorytetem jest natychmiastowa aktualizacja cPanel i WHM do wersji zawierających poprawki bezpieczeństwa. Jeżeli wdrożenie aktualizacji nie jest możliwe od razu, należy tymczasowo ograniczyć ekspozycję interfejsów administracyjnych do zaufanych adresów IP, odseparować dostęp sieciowy i objąć systemy wzmożonym monitoringiem.

W reakcji na zagrożenie warto założyć, że każdy niezałatany system mógł zostać już naruszony. W praktyce oznacza to potrzebę przeprowadzenia szerszej weryfikacji bezpieczeństwa, a nie wyłącznie instalacji poprawki.

  • Przejrzeć logi uwierzytelniania, dostępu do panelu i działań administracyjnych.
  • Zweryfikować nowe lub nietypowe konta, tokeny, klucze API i zadania cron.
  • Przeprowadzić rotację haseł administratorów, kont hostingowych, baz danych i poczty.
  • Sprawdzić integralność plików systemowych oraz aplikacyjnych.
  • Przeszukać środowisko pod kątem artefaktów ransomware, plików README.md i rozszerzenia „.sorry”.
  • Odłączyć lub zabezpieczyć repozytoria backupu przed nadpisaniem i usunięciem.

W organizacjach o wyższym poziomie dojrzałości bezpieczeństwa zalecany jest także threat hunting pod kątem nieautoryzowanych sesji, zmian w konfiguracji usług WWW, modyfikacji wirtualnych hostów oraz uruchamiania binariów spoza standardowych ścieżek. W przypadku podejrzenia kompromitacji bezpieczniejszym rozwiązaniem może być odbudowa systemu z zaufanego obrazu i odtworzenie danych z odseparowanych kopii zapasowych.

Długoterminowo warto ograniczać powierzchnię ataku poprzez segmentację paneli administracyjnych, wymuszanie dostępu przez VPN lub listy ACL, rozdzielenie ról administracyjnych oraz utrzymywanie kopii zapasowych offline lub immutable. Dla dostawców hostingu kluczowe staje się również skrócenie czasu wdrażania poprawek i automatyzacja reagowania na krytyczne biuletyny bezpieczeństwa.

Podsumowanie

CVE-2026-41940 to jedna z najpoważniejszych podatności ostatnich miesięcy w ekosystemie hostingu opartym o cPanel i WHM. Luka umożliwia obejście logowania i została już wykorzystana w rzeczywistych kampaniach ransomware „Sorry” przeciwko serwerom Linux.

Z perspektywy bezpieczeństwa infrastruktury problem należy traktować jako zagrożenie krytyczne. Administratorzy powinni działać natychmiast: wdrożyć poprawki, zweryfikować oznaki kompromitacji, zabezpieczyć kopie zapasowe oraz przeprowadzić pełny przegląd środowiska pod kątem utrzymania dostępu przez napastników.

Źródła

  1. BleepingComputer — Critrical cPanel flaw mass-exploited in "Sorry" ransomware attacks — https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/
  2. NIST NVD — CVE-2026-41940 Detail — https://nvd.nist.gov/vuln/detail/CVE-2026-41940
  3. watchTowr — cPanel Authentication Bypass CVE-2026-41940 — https://watchtowr.com/resources/2765-rapid-reaction-cpanel-authentication-bypass/
  4. GitHub — watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py — https://github.com/watchtowrlabs/watchTowr-vs-cPanel-WHM-AuthBypass-to-RCE.py
  5. CISA — Known Exploited Vulnerabilities Catalog entry for CVE-2026-41940 — https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-41940