CVE-2026-41940 – от zero-day до глобална експлоатация
Новоразкрита уязвимост, обозначена като CVE-2026-41940, вече се използва активно за компрометиране на сървъри и разпространение на ransomware атаки. Проблемът засяга системите WHM и cPanel – широко използвани Linux-базирани платформи за управление на хостинг инфраструктура.
Уязвимостта позволява заобикаляне на автентикацията, давайки на атакуващите директен достъп до контролния панел – ключова точка за управление на сайтове, бази данни и имейл услуги.
Спешен ъпдейт вече е наличен, но според данни на Shadowserver Foundation, над 44 000 IP адреса вече са били компрометирани.
Как протичат атаките
Атакуващите използват уязвимостта, за да получат достъп до сървърите и да внедрят ransomware, известен като Sorry.
Ключови характеристики на атаката:
- Използване на Go-базиран Linux encryptor
- Криптиране на файлове с добавяне на разширение .sorry
- Масово индексиране на компрометирани сайтове, включително в Google
Във всяка засегната директория се създава файл README.md, съдържащ инструкции за контакт с атакуващите чрез Tox мрежата.
Технически анализ на ransomware „Sorry“
Ransomware инструментът използва силни криптографски механизми:
- ChaCha20 – за бързо криптиране на файловете
- RSA-2048 – за защита на ключа за декриптиране
Тази комбинация прави възстановяването на данните практически невъзможно без достъп до частния ключ.
Експерти подчертават, че:
„Декриптиране без RSA-2048 private key е невъзможно“
Масовост и реално въздействие
Атаките вече имат значителен обхват:
- Стотици компрометирани сайтове
- Активно разпространение в реално време
- Потенциал за бързо нарастване през следващите дни
Важно уточнение е, че въпреки сходното разширение (.sorry), тази кампания няма връзка с по-стари атаки от 2018 г., използвали HiddenTear.
Защо тази уязвимост е толкова критична
CVE-2026-41940 комбинира няколко опасни фактора:
Директен достъп до контролен панел
Компрометирането на cPanel/WHM означава пълен контрол върху хостинг средата.
Широко разпространение на платформата
cPanel е една от най-използваните системи в уеб хостинга, което увеличава мащаба на атаките.
Бърза експлоатация (zero-day)
Атаките започват още преди официалното публикуване на пача.
Препоръчителни мерки за защита
Организациите и администраторите трябва да действат незабавно:
Незабавен ъпдейт
- Инсталиране на последните версии на cPanel и WHM
Ограничаване на достъпа
- Ограничаване на достъпа до административните панели по IP
- Използване на VPN или защитени канали
Мониторинг и реакция
- Проверка за необичайна активност
- Търсене на файлове с разширение *.sorry
- Проверка за наличие на README.md ransom бележки
Backup стратегия
- Поддържане на офлайн резервни копия
- Редовно тестване на възстановяване
Cпешност и реален риск
Кампанията „Sorry“ показва колко бързо една критична уязвимост може да бъде превърната в масова атака. С над десетки хиляди засегнати системи, рискът за бизнеси и хостинг доставчици е изключително висок.
В този контекст времето за реакция е решаващо – всяко забавяне увеличава вероятността от пълна компрометация и загуба на данни.
