Kritische cPanel-Lücke wird massenhaft für "Sorry"-Ransomware ausgenutzt

Zusammenfassung

Eine neu offengelegte Schwachstelle in cPanel mit der Kennung CVE-2026-41940 wird derzeit in großem Stil ausgenutzt, um Webseiten zu kompromittieren und Daten im Rahmen sogenannter "Sorry"-Ransomware-Angriffe zu verschlüsseln. In dieser Woche erschien ein Notfall-Update für WHM und cPanel, das eine kritische Schwachstelle zur Umgehung der Authentifizierung schließt — über sie können Angreifer Zugriff auf die Steuerungsoberflächen erlangen. WHM und cPanel sind Linux-basierte Web-Hosting-Steuerungsoberflächen für die Server- und Webseitenverwaltung: Während WHM die Kontrolle auf Serverebene bietet, gewährt cPanel administrativen Zugriff auf das Backend der Webseite, das Webmail und die Datenbanken. Kurz nach Veröffentlichung des Updates wurde berichtet, dass die Lücke bereits als Zero-Day aktiv ausgenutzt wurde — die Ausnutzungsversuche reichen bis in diesen Zeitraum zurück. Der Internet-Sicherheitsdienst Shadowserver meldet inzwischen, dass mindestens 44.000 IP-Adressen mit cPanel in den laufenden Angriffen kompromittiert wurden. Mehrere Quellen berichteten BleepingComputer, dass Angreifer die Lücke ausnutzen, um Server zu kompromittieren und einen in Go geschriebenen Linux-Verschlüsseler der "Sorry"-Ransomware einzuschleusen.

Das Notfall-Update für WHM und cPanel behebt eine kritische Schwachstelle zur Umgehung der Authentifizierung, die Angreifern den Zugang zu den Steuerungsoberflächen ermöglicht. Bei beiden Produkten handelt es sich um Linux-basierte Web-Hosting-Oberflächen: WHM steuert den Server, cPanel verwaltet das Backend einer Webseite, das Webmail und die Datenbanken.

Nach Angaben mehrerer Quellen gegenüber BleepingComputer nutzen die Angreifer die Lücke aus, um auf Servern einen in Go entwickelten Linux-Verschlüsseler der “Sorry”-Ransomware auszuführen. Der Internet-Sicherheitsdienst Shadowserver beziffert die Zahl der bislang kompromittierten cPanel-IP-Adressen auf mindestens 44.000. Berichte über betroffene Webseiten häufen sich, unter anderem in den Foren von BleepingComputer, wo ein Geschädigter Proben der verschlüsselten Dateien sowie den Inhalt der Lösegeldforderung teilte. Inzwischen sind bereits Hunderte kompromittierter Seiten in Google indexiert.

Der Verschlüsseler ist speziell für Linux ausgelegt und hängt an alle verschlüsselten Dateien die Endung “.sorry” an. Wie BleepingComputer erfuhr, nutzt die Ransomware die Stromchiffre ChaCha20 zur Verschlüsselung der Dateien, wobei der Schlüssel durch einen eingebetteten öffentlichen RSA-2048-Schlüssel geschützt wird.

Der Ransomware-Experte Rivitna erklärt, eine Entschlüsselung sei nur durch den passenden privaten RSA-2048-Schlüssel möglich. “Eine Entschlüsselung ist ohne den privaten RSA-2048-Schlüssel unmöglich”, schrieb Rivitna in den Foren.

In jedem Ordner legt die Schadsoftware eine Lösegeldforderung mit dem Namen README.md ab, die das Opfer auffordert, die Täter über Tox zur Verhandlung einer Zahlung zu kontaktieren. Die Forderung ist für alle Betroffenen dieser Kampagne identisch und enthält dieselbe Tox-ID zur Kontaktaufnahme.

Anzumerken ist, dass bereits eine Ransomware-Kampagne aus dem Jahr 2018 einen HiddenTear-Verschlüsseler einsetzte und die Endung “.sorry” anhängte. Die aktuelle Kampagne verwendet jedoch einen anderen Verschlüsseler und steht damit in keinem Zusammenhang.

Alle Nutzer von cPanel und WHM sind aufgefordert, die verfügbaren Sicherheitsupdates umgehend zu installieren. Die Angriffe haben gerade erst begonnen.

Kritische cPanel-Lücke wird massenhaft für "Sorry"-Ransomware ausgenutzt

Ähnliche Artikel

Neueste Artikel