Vulnerabilidade no cPanel abre as portas a ransomware "Sorry"

Há uma vulnerabilidade crítica no cPanel que está a permitir uma vaga de ataques do ransomware Sorry.

Uma vulnerabilidade crítica no cPanel está a ser explorada activamente em ataques de ransomware, colocando milhares de sites em risco. A falha, identificada como CVE-2026-41940, permite contornar a autenticação e obter acesso directo aos painéis de gestão, afetando também o WHM. Estes sistemas são amplamente usados em servidores Linux para gerir websites, bases de dados e contas de email, o que aumenta significativamente o impacto desta falha.

Com uma classificação de gravidade de 9.8, a vulnerabilidade começou a ser explorada como 0-day ainda antes de existir uma correcção. Desde então, já foram identificados pelo menos 44 mil servidores comprometidos, com ataques em larga escala a multiplicarem-se por todo o mundo. Os atacantes estão a aproveitar o acesso para instalar o ransomware "Sorry", que já afectou centenas de sites, alguns dos quais começaram a aparecer indexados em motores de busca.

O ransomware foi desenvolvido especificamente para sistemas Linux e adiciona a extensão ".sorry" a todos os ficheiros encriptados. Utiliza o algoritmo ChaCha20 para encriptação, com a chave protegida por RSA-2048, o que torna a recuperação praticamente impossível sem acesso à chave privada. Em cada pasta afectada é criada uma nota de resgate em formato README.md, com instruções para as vítimas contactarem os atacantes através da rede Tox para negociar o pagamento.

Entretanto, já foi lançada uma actualização de emergência para várias versões do cPanel e WHM. Servidores desactualizados ou fora de suporte continuam especialmente vulneráveis. Como o acesso a estes painéis permite controlo total sobre o servidor, incluindo criação de contas falsas, instalação de backdoors, e envio de spam - a recomendação é aplicar as correções quanto antes e reforçar as medidas de segurança, já que os ataques deverão intensificar-se ainda mais nos próximos dias.