Sorry ransomware атакует веб-серверы через cPanel: 1,5 млн серверов в зоне риска, в том числе и российские
Хакеры научились обходить аутентификацию в cPanel & WHM с помощью CVE-2026-41940. Ошибка обработки сессий позволяет атакующему войти в панель без пароля — и сразу развернуть Linux-шифровальщика Sorry ransomware. Под угрозой около 1,5 млн серверов, в том числе и зарегистрированные в России.
Злоумышленники начали эксплуатировать критическую уязвимость CVE-2026-41940 в cPanel & WHM для атак на веб-серверы: через нее они обходят аутентификацию и разворачивают шифровальщик Sorry ransomware, сообщает Bleeping Computer. CVE-2026-41940 получила оценку 9,8 из 10 по шкале CVSS и затрагивает cPanel & WHM и WP Squared. Ошибка связана с обработкой сессий: специально сформированный запрос может заставить систему считать атакующего уже авторизованным пользователем. CISA добавила уязвимость в каталог Known Exploited Vulnerabilities,
cPanel и WHM — панели управления веб-хостингом на Linux. WHM обычно используют для администрирования сервера, а cPanel — для управления сайтами, почтой, базами данных и другими компонентами веб-проекта. Поэтому взлом такой панели может затронуть не только один сайт, а всю размещённую на сервере инфраструктуру.
cPanel широко используется в хостинговой инфраструктуре, поэтому уязвимость быстро стала массовой проблемой. По данным компании Rapid7, которая специализируется на кибербезопасности, поиск через Shodan — систему для поиска доступных из интернета серверов и сервисов — выявил около 1,5 млн экземпляров cPanel. Точное число уязвимых систем неизвестно. В российском сегменте cPanel, по данным BuiltWith, эта технология обнаружена более чем на 2,6 тыс. сайтов.
Ситуацию осложнило появление публичного PoC-инструмента cPanelSniper. PoC — это демонстрационный код, который подтверждает, что уязвимость можно использовать на практике. В этом случае инструмент автоматизирует эксплуатацию CVE-2026-41940 и упрощает атаку на серверы без установленных исправлений. После входа в панель злоумышленники запускают Linux-шифровальщика Sorry ransomware. Он шифрует файлы на сервере, добавляет к ним расширение .sorry и оставляет записку README.md с контактами вымогателей.
cPanel выпустила экстренное обновление и рекомендации по проверке систем. Администраторам нужно установить исправления для cPanel & WHM и WP Squared, проверить признаки взлома, сменить административные пароли и убедиться, что на сервере не появились новые учётные записи или другие способы доступа.
Читайте также
