关键 cPanel 漏洞在“Sorry”勒索软件攻击中被大规模利用
Source: Bleeping Computer
概述
一个新披露的 cPanel 漏洞(追踪编号 CVE‑2026‑41940)正被大规模利用,以在 “Sorry” 勒索软件攻击中入侵网站并加密数据。
本周,已发布针对 WHM 和 cPanel 的紧急更新,用于修复一个关键的身份验证绕过缺陷,该缺陷允许攻击者访问控制面板。
WHM 和 cPanel 是基于 Linux 的网页托管控制面板,用于服务器和网站管理。WHM 提供服务器级别的控制,而 cPanel 则为管理员提供网站后台、Webmail 和数据库的访问权限。
发布后不久,就有报告称该缺陷正被作为零日漏洞在野外积极利用,利用尝试可追溯至二月下旬。
互联网安全监督机构 Shadowserver 现在报告称,至少有 44,000 个运行 cPanel 的 IP 地址在持续攻击中被妥协。Source
cPanel 漏洞被用于 Sorry 勒索软件攻击
多个来源告诉 BleepingComputer,黑客自本周四起利用 cPanel 漏洞入侵服务器,并部署基于 Go 的 Linux 加密器,用于 “Sorry” 勒索软件。该加密器的样本可在 VirusTotal 获取。
已经有多起受损站点的报告,包括在 BleepingComputer 论坛 上的帖子,受害者分享了被加密文件的样本和勒索说明。
此后,观察到大规模的利用行为,已有数百个受损站点被 Google 索引:
来源:BleepingComputer
Sorry 勒索软件的加密器专为 Linux 设计,会在所有被加密文件后追加 .sorry 扩展名。
来源:diozada 在 BleepingComputer 论坛的发布
BleepingComputer 获悉,该勒索软件使用 ChaCha20 流密码对文件进行加密,且加密密钥受嵌入的 RSA‑2048 公钥保护。勒索软件专家 Rivitna 确认,没有对应的私有 RSA‑2048 密钥,解密是不可能的:
“没有 RSA‑2048 私钥,解密是不可能的。” – Rivitna 在论坛的发言
在每个受感染的文件夹中,都会生成名为 README.md 的勒索说明,指示受害者通过 Tox 联系威胁行为者以协商付款。该说明在所有受害者之间完全相同,并包含以下 Tox ID:
3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724
来源:BleepingComputer
需要说明的是,2018 年的一次勒索软件活动使用了 HiddenTear 加密器,也会在文件后追加 .sorry 扩展名,但当前的活动使用的是不同的加密器,二者并无关联。
缓解措施
强烈建议所有 cPanel 和 WHM 用户 立即安装可用的安全更新:
攻击刚刚开始,预计在接下来的几天和几周内会有更多的利用行为。