Ein kritischer Authentifizierungsfehler in cPanel / WHM, aufgezeichnet als CVE-2026-41940, wird in Masse ausgenutzt und wurde bereits mit Ransomware-Kampagnen verbunden, die auf Linux-Servern, die Websites hosten. Die Schwachstelle ermöglicht Angreifern, Kontrolltafelzugriffskontrollen zu vermeiden und administrative Privilegien über cPanel / WHM-verwaltete Websites, Post und Datenbanken zu erhalten; daher ist das im April veröffentlichte Notfall-Update für jeden Hosting-Administrator eine Priorität. Die offizielle Benachrichtigung und Aktualisierung finden Sie im cPanel-Portal: Sicherheitsupdate von cPanel.
Die gemeinschaftlichen Telemetrie-Aufzeichnungen und -berichte zeigen, dass die Ausbeutung nicht theoretisch ist: Sie wurde seit mindestens Ende Februar als Nulltag verwendet und laut Shadowserver Zehntausende von PIs mit cPanel in dieser Anfangswelle beeinträchtigt ( Shadowserver Bericht) Die Angreifer stellen eine Go-geschriebene Chiffre namens "Sorry", die sich auf Linux-Umgebungen konzentriert und die Dateierweiterungen modifiziert und einen Ordner Rettungshinweis hinterlassen.
Aus technischer Sicht verwendet der gemeldete Schadcode ChaCha20, um den Inhalt zu verschlüsseln und den Schlüssel mit einem integrierten RSA.-2048 öffentlichen Schlüssel zu schützen, was bedeutet, dass Datenrettung ohne privaten Schlüssel ist praktisch unmöglich es sei denn, eine gültige Sicherung ist verfügbar oder der private Schlüssel des Angreifers wird wiederhergestellt. Eine binäre Probenahme wurde auf Analyseplattformen wie VirusTotal hochgeladen, was die Erkennung von Antwortgeräten erleichtert: Beispiel in VirusTotal.
Wenn Sie cPanel / WHM verwalten, Sofortmaßnahmen sollte es sein, die Server auf die von cPanel bereitgestellte parched Version vor jeder anderen Minderungsaufgabe zu aktualisieren, da die Schwachstelle direkten administrativen Zugriff erlaubt. Nach dem Patchen isolieren sie die kompromittierten Server aus dem Netzwerk, bewahren Hinweise auf Protokoll und Prozess und starten keine kritischen Maschinen, ohne sie mit dem forensischen Team zu koordinieren, da die Volatilität wichtige Spuren entfernen kann, um den Punkt der Eingabe und den Umfang des Angriffs zu bestimmen.
Für Erkennung und Eindämmung, überprüfen Sie die Systeme für Indikatoren: verschlüsselte Dateien mit der Erweiterung '. Sorry' (Berichte zeigen, dass die Erweiterung wiederholt hinzugefügt werden kann), Anwesenheit von README. md notiert mit Kontaktanweisungen, anormalen Laufprozessen, Chronab-Einträgen oder neuen geplanten Aufgaben und Webshells in öffentlichen Verzeichnissen. Vollständig mit Integritätsscans auf Web-Dateien und Datenbanken, Kontoanalyse mit Privilegien, SSH-Schlüsseländerungen und sofortige Rotation der freiliegenden Anmeldeinformationen. Bezahlen Sie das Lösegeld nicht als erste Option; kontaktieren Sie die Behörden und ihr Rechts- und Sicherheitsteam, um Optionen zu bewerten und zu prüfen, dass der einzige zuverlässige Weg zur Wiederherstellung von validierten Backups ist.
Auf der Vorbeugungs- und Widerstandsebene müssen Host-Anbieter und Administratoren die Zugangsrichtlinien stärken: den Zugriff auf administrative Ports nur auf zulässige IP-Adressen beschränken, die Multifactor-Authentifizierung, soweit möglich, die Firewall- und WAF-Regeln überprüfen und verschärfen und die Netzwerksegmentierung anwenden, so dass ein engagiertes Panel nicht zum Gesamtverlust anderer Maschinen führt. Es ist auch kritisch zu validieren, dass Backups offline oder unzugänglich für den Benutzer sind, der das Panel betreibt, und regelmäßige Restaurationen zu üben, um die Integrität der Backups zu gewährleisten.
Für intermediäre Reaktionsteams und betroffene Kunden planen Sie eine transparente Kommunikation: informieren Sie Kunden und Interessenvertreter über den Umfang und die laufenden Maßnahmen, um zu dokumentieren, welche Daten offengelegt wurden und welche Maßnahmen ergriffen werden. Organisationen mit großen Angriffsflächen sollten einen Such-Sweep von IOCs auf der Lieferantenebene betrachten und mit Intelligenz-Teams auf Bedrohungen zu blockieren Befehle und Domänen mit der Kampagne verbunden.
Diese Kampagne zeigt, wie eine Schwachstelle in einer zentralen Management-Komponente schnell zum Verlust von weit verbreiteten Daten skalieren kann. Betriebsstunden ist es, Sicherheitsaktualisierungen in Infrastruktur-Tools zu priorisieren, segregierte Sicherung zu halten und die Erkennung von Veränderungen in produktiven Umgebungen zu automatisieren. Er hofft, dass die Ausbeutung in den nächsten Tagen und Wochen zunehmen wird: schnell und in gewisser Weise reduziert die Wahrscheinlichkeit, das nächste Opfer zu werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...