Κρίσιμο κενό ασφαλείας στο cPanel εκμεταλλεύεται μαζικά για επιθέσεις ransomware «Sorry»

Μία από τις πιο σοβαρές ευπάθειες του 2026 στον χώρο του web hosting βρίσκεται τώρα σε φάση μαζικής εκμετάλλευσης. Το CVE-2026-41940, μια κρίσιμη ευπάθεια παράκαμψης αυθεντικοποίησης στο cPanel & WHM (WebHost Manager), έχει CVSS score 9.8 και επηρεάζει όλες τις εκδόσεις του λογισμικού μετά την 11.40, καθώς και το WP Squared, μια πλατφόρμα managed WordPress hosting βασισμένη στο cPanel.

Πώς λειτουργεί η επίθεση

Το ελάττωμα εντοπίζεται στη ροή του login του cPanel. Όταν ένας χρήστης προσπαθεί να συνδεθεί, το cPanel γράφει δεδομένα από το αίτημα σε ένα αρχείο session από την πλευρά του server πριν επαληθεύσει την ταυτότητά του. Ένας επιτιθέμενος μπορεί να εκμεταλλευτεί αυτό ενσωματώνοντας κρυφά line breaks στο πεδίο του κωδικού πρόσβασης — χαρακτήρες που το cPanel αποτυγχάνει να φιλτράρει — επιτρέποντας την έγχυση αυθαίρετων δεδομένων απευθείας στο αρχείο. Μέσω ενός δευτερεύοντος βήματος, τα injected δεδομένα προωθούνται στο ενεργό cache της session, όπου το cPanel τα διαβάζει ως νόμιμα. Μόλις συμβεί αυτό, το σύστημα θεωρεί την session ήδη authenticated και παρακάμπτει εντελώς την επαλήθευση κωδικού, χορηγώντας πρόσβαση χωρίς ποτέ να ελέγξει τα πραγματικά credentials του χρήστη.

Συγκεκριμένα, η εκμετάλλευση του CVE-2026-41940 — που μπορεί να συνοψιστεί ως CRLF flaw — περιλαμβάνει ελάχιστα βήματα: ο επιτιθέμενος δημιουργεί ένα session cookie ολοκληρώνοντας μια αποτυχημένη απόπειρα σύνδεσης και στη συνέχεια αποστέλλει ένα αίτημα με ένα ειδικά κατασκευασμένο header με εντολή αλλαγής προνομίων σε root, και έπειτα χρησιμοποιεί αυτό το cookie για να συνδεθεί στο cPanel και WHM ως root. Η εκμετάλλευση στοχεύει τα ports 2083, 2087, 2095 και 2096 — τα standard ports πρόσβασης του cPanel και WHM — καθιστώντας κάθε εκτεθειμένο control panel βιώσιμο στόχο.

Zero-day εδώ και μήνες — και ransomware ήδη σε δράση

Οι επιτιθέμενοι δεν χρειάστηκε να περιμένουν τους ερευνητές να δημοσιεύσουν τεχνικές λεπτομέρειες: έχουν εντοπιστεί να εκμεταλλεύονται το CVE-2026-41940 ήδη από τις 23 Φεβρουαρίου, και πιθανώς ακόμα νωρίτερα. Πρώιμα σήματα από defenders, όπως ο CEO της KnownHost Daniel Pearson, υποδηλώνουν ότι ενδέχεται να εκμεταλλεύτηκε ως zero-day για τουλάχιστον 30 ημέρες.

Ιδιοκτήτης μικρής επιχείρησης που ανάρτησε στο Reddit ανέφερε ότι η εταιρεία του χτυπήθηκε από ransomware αφού χρησιμοποιούσε μία τυπική εγκατάσταση cPanel. Σύμφωνα με το BleepingComputer, το ransomware που εντοπίστηκε φέρει την ονομασία «Sorry» και αποτελεί μία από τις πρώτες επιβεβαιωμένες περιπτώσεις μαζικής εκμετάλλευσης για κρυπτογράφηση δεδομένων μέσω αυτής της ευπάθειας.

Κλίμακα έκθεσης: 1,5 εκατομμύρια instances

Σύμφωνα με την Rapid7, scans μέσω Shodan δείχνουν ότι υπάρχουν περίπου 1,5 εκατομμύρια cPanel instances εκτεθειμένα online, χωρίς να είναι γνωστός ο ακριβής αριθμός των ευάλωτων συστημάτων. «Η επιτυχής εκμετάλλευση του CVE-2026-41940 χορηγεί στον επιτιθέμενο έλεγχο του cPanel host system, των ρυθμίσεων και βάσεων δεδομένων του, καθώς και των websites που διαχειρίζεται», προειδοποιεί η Rapid7. Το Shadowserver Foundation αναφέρει ότι εντοπίζει 44.000 μοναδικές IPs να κάνουν scanning, να εκτελούν exploits ή να διεξάγουν brute force επιθέσεις, ενώ εντοπίζει και περίπου 650.000 IPs που φιλοξενούν εκτεθειμένα cPanel/WHM instances.

Αντίδραση providers και CISA

Η Namecheap, που χρησιμοποιεί cPanel για να επιτρέπει στους πελάτες της να διαχειρίζονται τους web servers τους, ανέφερε ότι μπλόκαρε προσωρινά την πρόσβαση στα cPanel panels των πελατών της μετά την ενημέρωση για το κενό ασφαλείας, ώστε να αποτρέψει εκμετάλλευση και να κερδίσει χρόνο για την εφαρμογή patches. Η HostGator επίσης ανέφερε ότι έκανε patch τα συστήματά της και χαρακτήρισε το κενό ως «critical authentication-bypass exploit».

Η CISA πρόσθεσε το CVE-2026-41940 στον κατάλογο Known Exploited Vulnerabilities (KEV), απαιτώντας από τις ομοσπονδιακές υπηρεσίες (FCEB) να εφαρμόσουν τα patches έως τις 3 Μαΐου 2026.

Τι πρέπει να κάνεις τώρα

Το security advisory συνιστά ενημέρωση στην patched έκδοση cPanel, επαλήθευση της έκδοσης build και επανεκκίνηση της υπηρεσίας cPanel (cpsrvd). Ως mitigations έως ότου εφαρμοστεί το patch, η εταιρεία προτείνει το blocking εισερχόμενης κίνησης στα ports 2083, 2087, 2095 και 2096 στο firewall και διακοπή των υπηρεσιών cpsrvd και cpdavd. Η cPanel έχει δημοσιεύσει detection script, και η watchTowr κυκλοφόρησε Detection Artifact Generator για να βοηθήσει τους administrators να εντοπίσουν σημάδια compromise.

Πηγές

• BleepingComputer – Critical cPanel flaw mass-exploited in "Sorry" ransomware attacks
• CyberScoop – cPanel's authentication bypass bug is being exploited in the wild, CISA warns
• The Register – Critical cPanel exploited: 'Millions' of sites could be hit
• SecurityWeek – Critical cPanel & WHM Vulnerability Exploited as Zero-Day for Months
• Help Net Security – cPanel zero-day exploited for months before patch release