حمله گسترده باج‌افزاری با سوءاستفاده از آسیب‌پذیری بحرانی در cPanel

یک آسیب‌پذیری بسیار بحرانی در cPanel و WHM با شناسه CVE-2026-41940 به‌طور گسترده در حملات واقعی مورد سوءاستفاده قرار گرفته و موجی از حملات باج‌افزاری با نام Sorry را به راه انداخته است.

این نقص امنیتی از نوع “دور زدن احراز هویت” (Authentication Bypass) است و به مهاجمان اجازه می‌دهد بدون داشتن اعتبارنامه معتبر، به پنل مدیریتی سرور دسترسی پیدا کنند؛ موضوعی که به‌ویژه برای سرورهای میزبانی وب بسیار خطرناک است. به‌خصوص این‌که این پنل‌ها دسترسی مستقیم به فایل‌ها، پایگاه‌های داده و تنظیمات حیاتی سرویس‌ها دارند.

cPanel یکی از پرکاربردترین ابزارهای مدیریت میزبانی (Hosting) در سرورهای Linux است که به مدیران و کاربران امکان می‌دهد بدون نیاز به دانش عمیق فنی، وب‌سایت‌ها، دامنه‌ها، ایمیل‌ها، پایگاه‌های داده و فایل‌های سرور را از طریق یک رابط گرافیکی مدیریت کنند. این ابزار معمولاً همراه با WHM برای مدیریت سطح سرور استفاده می‌شود و به دلیل فراگیر بودن آن، هرگونه آسیب‌پذیری در آن می‌تواند تأثیر گسترده‌ای بر زیرساخت‌های اینترنتی داشته باشد.

بر اساس گزارش‌ها، آسیب‌پذیری CVE-2026-41940 پیش از انتشار وصله رسمی نیز به‌عنوان یک حمله “روز-صفر” (Zero-day) از اواخر فوریه مورد بهره‌برداری بوده است. پس از انتشار به‌روزرسانی اضطراری، فعالیت مهاجمان شدت گرفته و طبق داده‌های نهادهای پایش امنیتی، حداقل ۴۴ هزار IP دارای cPanel در معرض نفوذ قرار گرفته یا آلوده شده‌اند. این موضوع نشان‌دهنده اسکن و بهره‌برداری (Exploit) خودکار در مقیاس وسیع است.

 

زنجیره حمله (Attack Chain)

مهاجمان پس از سوءاستفاده از این نقص:

• به پنل مدیریتی دسترسی پیدا می‌کنند؛
• دسترسی خود را تثبیت (Persistence) می‌کنند؛
• یک بدافزار رمزگذار (Encryptor) مبتنی بر Linux – نوشته‌شده با زبان Go – را روی سرور مستقر می‌کنند؛
• فرآیند رمزگذاری فایل‌ها را آغاز می‌کنند.
• این باج‌افزار به‌طور خاص برای محیط‌های Linux طراحی شده و تمامی فایل‌ها را رمزگذاری کرده و پسوند sorry. به آن‌ها اضافه می‌کند.

 

جزئیات فنی رمزنگاری

طبق تحلیل‌ها، این باج‌افزار از ترکیب دو الگوریتم استفاده می‌کند:

• ChaCha20 به‌عنوان رمز جریان (Stream Cipher) برای رمزگذاری سریع داده‌ها
• RSA-2048 برای محافظت از کلید رمزگذاری

در این روش، برای هر فایل یا جلسه رمزگذاری، یک کلید متقارن تولید شده و با کلید عمومی RSA مهاجم رمز می‌شود. در نتیجه، تنها دارنده کلید خصوصی RSA قادر به بازیابی کلید اصلی و در نهایت رمزگشایی فایل‌ها است. به گفته کارشناسان، بدون دسترسی به کلید خصوصی RSA-2048، عملاً امکان بازیابی اطلاعات وجود ندارد.

 

رفتار باج‌افزار و اخاذی

پس از اتمام رمزگذاری:

• در هر پوشه فایلی با نام README.md ایجاد می‌شود؛
• این فایل شامل دستورالعمل تماس با مهاجم از طریق پیام‌رسان Tox است؛
• یک شناسه مشخص برای ارتباط با عامل تهدید ارائه می‌شود؛
• از قربانی درخواست پرداخت باج در ازای دریافت کلید رمزگشایی می‌شود.

 

گستردگی و اثرات

گزارش‌ها حاکی از آن است که:

• صدها وب‌سایت آلوده تاکنون شناسایی و حتی در نتایج جستجوی Google ایندکس شده‌اند؛
• این حملات همچنان در حال گسترش هستند؛
• زیرساخت‌های میزبانی اشتراکی (Shared Hosting) به‌ویژه در معرض خطر بالاتری قرار دارند.

 

توصیه‌های امنیتی

کارشناسان به تمامی مدیران سرور توصیه می‌کنند:

• فوراً آخرین وصله‌های امنیتی WHM و cPanel را نصب کنند؛ توصیه‌نامه cPanel در اینجا قابل دسترس است؛
• دسترسی‌ها و لاگ‌های احراز هویت را بررسی کنند؛
• سرویس‌ها را برای نشانه‌های نفوذ (Indicators of Compromise) رصد کنند؛
• از داده‌های حیاتی نسخه پشتیبان برون‌خط (Offline) تهیه کنند.

 

با توجه به اینکه این حملات در مراحل ابتدایی هستند، انتظار می‌رود در روزها و هفته‌های آینده شاهد افزایش قابل‌توجه در سوءاستفاده و گسترش این باج‌افزار باشیم.