Critrical cPanel flaw mass-exploited in “Sorry” ransomware attacks

Campagne de ransomware « Sorry » exploitant une faille critique dans cPanel

Une vulnérabilité critique affectant cPanel et WHM est activement exploitée par des cybercriminels pour compromettre des serveurs Linux et déployer le ransomware « Sorry ». Plus de 44 000 adresses IP auraient déjà été touchées.

Points clés :

• Vecteur d’attaque : La faille permet un contournement d’authentification, offrant aux attaquants un accès complet aux panneaux de contrôle (gestion des serveurs, bases de données et webmail).
• Impact : Chiffrement des fichiers via l’algorithme ChaCha20, protégés par une clé RSA-2048. Les fichiers chiffrés reçoivent l’extension « .sorry ».
• Mode opératoire : Dépose d’une note de rançon nommée README.md demandant une prise de contact via Tox pour négocier le paiement.
• Impossibilité de déchiffrement : Sans la clé privée RSA-2048 détenue par les attaquants, la récupération des données est techniquement impossible.

Vulnérabilité identifiée :

• CVE-2026-41940 : Faille critique de contournement d’authentification dans cPanel et WHM.

Recommandations :

• Mise à jour immédiate : Tous les utilisateurs de cPanel et WHM doivent installer sans délai les correctifs de sécurité fournis par l’éditeur pour combler cette brèche.
• Vérification des accès : En cas de suspicion de compromission, auditer les logs du serveur pour détecter tout accès non autorisé ou activité anormale.
• Sauvegardes : S’assurer de disposer de sauvegardes hors ligne et isolées des données critiques afin de limiter l’impact d’une éventuelle attaque par ransomware.

Source