Una vulnerabilidad crítica en cPanel y WHM, identificada como CVE-2026-41940, está siendo explotada masivamente a nivel global. Este fallo permite una elusión de la autenticación (bypass) que facilita a los atacantes tomar el control de servidores Linux expuestos a Internet. Una vez dentro, los ciberdelincuentes despliegan el ransomware "Sorry", que cifra los archivos y exige un rescate.
El vector de ataque aprovecha una inyección CRLF durante el proceso de login para manipular los archivos de sesión. Esto permite a los atacantes crear una sesión privilegiada con acceso de root, obviando los mecanismos de seguridad habituales. Se han detectado decenas de miles d e direcciones IP involucradas en oleadas de escaneo y explotación, lo que indica una amenaza de gran alcance y urgencia.
El ransomware "Sorry", desarrollado en Go, cifra los ficheros de los servidores afectados, añadiendo la extensión ".sorry" y dejando una nota de rescate llamada "README.md". La recuperación de los datos sin la clave privada correspondiente es prácticamente imposible, ya que utiliza criptografía robusta como ChaCha20 y RSA-2048. La comunicación con las víctimas se realiza a través de Tox.
Ante esta situación, es crucial aplicar el parche de emergencia de cPanel y WHM de inmediato. Sin embargo, los expertos advierten que aplicar el parche no es suficiente si el servidor ya ha sido comprometido. Se recomienda tratar los sistemas expuestos como potencialmente infectados, revisar indicadores como la presencia de archivos ".sorry" o "README.md", y realizar análisis forenses. Medidas adicionales incluyen la rotación de credenciales, la validación de copias de seguridad offline, la limitación del acceso a los puertos de cPanel mediante listas blancas, y la configuración de firewalls y WAFs.
La explotación activa de esta vulnerabilidad ha llevado a su inclusión en el catálogo de "Known Exploited Vulnerabilities" de CISA, reforzando la necesidad de una respuesta rápida y contundente por parte de los administradores de sistemas para proteger sus servidores y datos.
Artículos relacionados de LaRebelión:
- AMD Trae HDMI 21 a Linux Steam Machine Celebra
- AMD Brings HDMI 21 Support to Linux
- Ransomware Evoluciona Filtraciones Falsas y Sin Encriptacion
- CISA Alerta Vulnerabilidad Linux CVE-2026-31431 Explotada Activamente
- Linux Steam Users Double in Just One Year
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario