Une défaillance d'authentification critique dans cPanel / WHM, enregistrée comme CVE-2026-41940, est exploité en masse et a déjà été lié à des campagnes de ransomware visant les serveurs Linux hébergeant des sites Web. La vulnérabilité permet aux attaquants d'éviter les contrôles d'accès aux panneaux de contrôle et d'obtenir des privilèges administratifs sur les sites, les postes et les bases de données gérés par cPanel / WHM; par conséquent, la mise à jour d'urgence publiée fin avril est une priorité pour tout administrateur d'hébergement. La notification officielle et la mise à jour peuvent être trouvées sur le portail cPanel: mise à jour de sécurité de cPanel.
Les relevés et rapports de télémétrie communautaire montrent que l'exploitation n'est pas théorique: elle a été utilisée comme un jour zéro depuis au moins la fin de février et, selon Shadowserver, des dizaines de milliers de PI avec cPanel ont été compromis dans cette première vague ( Rapport de Shadowserver). Les attaquants déploient un chiffre Go-written appelé "Désolé", centré sur les environnements Linux et qui modifie les extensions de fichiers, laissant un avis de sauvetage de dossier.
Du point de vue technique, le code malveillant signalé utilise ChaCha20 pour chiffrer le contenu et protéger la clé avec une clé publique RSA intégrée. récupération de données sans clé privée est pratiquement impossible sauf si une sauvegarde valide est disponible ou si la clé privée de l'attaquant est récupérée. Un échantillonnage binaire a été téléchargé sur des plateformes d'analyse telles que VirusTotal, ce qui facilite la détection des équipements d'intervention: exemple d'échantillon dans VirusTotal.
Si vous administrez cPanel / WHM, action immédiate devrait être de mettre à jour les serveurs à la version parachevée fournie par cPanel avant toute autre tâche d'atténuation, car la vulnérabilité permet un accès administratif direct. Après le patching, ils isolent les serveurs compromis du réseau, conservent des preuves de log et de processus et ne redémarrent pas les machines critiques sans les coordonner avec l'équipe médico-légale, car la volatilité peut enlever des traces importantes pour déterminer le point d'entrée et la portée de l'attaque.
Pour la détection et le confinement, vérifiez les systèmes pour les indicateurs: fichiers chiffrés avec l'extension '. Désolé (les rapports suggèrent que l'extension peut être ajoutée à plusieurs reprises), présence de README. md notes avec des instructions de contact, des processus de fonctionnement anormaux, des entrées de chronobe ou de nouvelles tâches programmées et des webshells dans les répertoires publics. Compléter avec des analyses d'intégrité sur les fichiers Web et les bases de données, l'analyse des comptes avec des privilèges, les changements clés SSH et la rotation immédiate des références exposées. Ne payez pas la rançon comme première option; contacter les autorités et leur équipe juridique et de sécurité pour évaluer les options, et considérer que le seul moyen fiable de restaurer est des sauvegardes validées.
Au niveau de la prévention et de la résistance, les fournisseurs d'hébergement et les administrateurs doivent renforcer les politiques d'accès: limiter l'accès aux ports administratifs uniquement aux adresses IP autorisées, permettre l'authentification multifactorielle chaque fois que possible, revoir et resserrer les règles de pare-feu et de WAF, et appliquer la segmentation du réseau afin qu'un panneau engagé n'entraîne pas la perte totale d'autres machines. Il est également essentiel de valider que les sauvegardes sont hors ligne ou inaccessibles à l'utilisateur exécutant le panneau, et de pratiquer des restaurations régulières pour assurer l'intégrité des sauvegardes.
Pour les équipes d'intervention intermédiaires et les clients concernés, planifier une communication transparente: informer les clients et les parties prenantes de la portée et des actions en cours, documenter quelles données ont pu être exposées et quelles mesures sont prises. Les organisations ayant de grandes surfaces d'attaque devraient envisager de procéder à une fouille des COI au niveau des fournisseurs et de coordonner avec les équipes de renseignement les menaces de bloquer les commandements et les domaines associés à la campagne.
Cette campagne montre comment une vulnérabilité dans une composante de gestion centrale peut rapidement s'étendre à la perte de données généralisées. La leçon opérationnelle est de prioriser les mises à jour de sécurité dans les outils d'infrastructure, de maintenir des sauvegardes séparées et d'automatiser la détection des changements dans les environnements productifs. Il espère que l'exploitation augmentera au cours des prochains jours et des prochaines semaines : agir rapidement et de manière à réduire la probabilité de devenir la prochaine victime.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...