Une vulnérabilité CVE-2026-41940 récemment révélée dans cPanel fait l’objet d’exploits massifs pour compromettre des sites web et chiffrer des données via le ransomware Sorry.
Les éditeurs de WHM et cPanel ont publié cette semaine un correctif d’urgence afin de corriger un contournement critique d’authentification, qui ouvre la porte aux assaillants vers les panneaux de contrôle.
cPanel et WHM constituent des interfaces de gestion pour l’hébergement web sous Linux, WHM gérant le niveau serveur tandis que cPanel donne accès à l’arrière-plan des sites, à la webmail et aux bases de données.
Les premières tentatives d’exploitation remontent à fin février, en zero-day, et des mises à jour ont rapidement suivi la divulgation publique.
Shadowserver signale désormais plus de 44 000 adresses IP équipées de cPanel touchées par ces attaques en cours.
Exploitation de la faille cPanel pour des attaques ransomware Sorry
Des serveurs ont été infiltrés depuis jeudi par cette brèche cPanel, permettant le déploiement d’un encryptant Linux écrit en Go pour le ransomware Sorry.
Source: BleepingComputer
Des centaines de sites victimes apparaissent déjà dans les résultats de recherche Google, avec des signalements multiples sur les forums, incluant des échantillons de fichiers chiffrés et de notes de rançon.
Cet encryptant Sorry, spécifique à Linux, ajoute l’extension .sorry aux fichiers touchés.
Source: diozada on the BleepingComputer forums
Il repose sur le chiffrement par flux ChaCha20, dont la clé est protégée par une clé publique RSA-2048 intégrée.
Seule la clé privée RSA-2048 correspondante permet la récupération des données, selon l’expert en ransomware Rivitna.
Dans chaque répertoire, un fichier README.md apparaît comme note de rançon, invitant les victimes à négocier via Tox avec l’identifiant « 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724 ».
Source: BleepingComputer
Cette opération diffère d’une campagne de 2018 qui utilisait un autre encryptant et l’extension .sorry.