Celah keamanan kritis pada cPanel, diidentifikasi sebagai CVE-2026-41940, tengah dieksploitasi secara massal untuk membobol situs web dan mengenkripsi data dalam serangan ransomware “Sorry”.
Pembaruan darurat telah dirilis untuk WHM dan cPanel guna menambal kelemahan bypass otentikasi yang sangat serius ini. Kerentanan tersebut memungkinkan pihak penyerang mendapatkan akses ke panel kontrol hosting web.
WHM dan cPanel adalah panel kontrol hosting web berbasis Linux yang esensial untuk manajemen server dan situs web. Sementara WHM menyediakan kontrol tingkat server, cPanel memberikan akses administrator ke backend situs web, webmail, dan basis data.
Ironisnya, tidak lama setelah rilis pembaruan darurat ini, dilaporkan bahwa celah tersebut sudah dieksploitasi secara aktif di lapangan sebagai zero-day. Upaya eksploitasi bahkan dilaporkan telah terjadi sejak akhir Februari.
Menurut laporan dari lembaga keamanan siber, setidaknya 44.000 alamat IP yang menjalankan cPanel telah terkompromi dalam serangan berkelanjutan ini.
Mekanisme Eksploitasi dan Ransomware Sorry
Para peretas telah memanfaatkan celah cPanel ini sejak hari Kamis untuk membobol server dan menanamkan encryptor Linux berbasis Go, yang merupakan inti dari ransomware “Sorry”. 🚨
Sumber-sumber keamanan melaporkan adanya banyak situs web yang terdampak. Jenis ransomware ini dirancang khusus untuk sistem operasi Linux dan akan melampirkan ekstensi .sorry pada semua berkas yang dienkripsi.
Ransomware “Sorry” menggunakan algoritma ChaCha20 stream cipher untuk enkripsi berkas, dengan kunci enkripsi dilindungi menggunakan public key RSA-2048 yang tertanam.
Menurut para pakar, satu-satunya cara untuk mendekripsi berkas-berkas ini adalah dengan mendapatkan private key RSA-2048 yang sesuai.
Dalam setiap folder yang menjadi target, akan dibuat sebuah surat tebusan (ransom note) bernama README.md, yang menginstruksikan korban untuk menghubungi pelaku ancaman melalui platform Tox guna negosiasi pembayaran tebusan.
Mitigasi dan Langkah Pencegahan
Perlu diperhatikan bahwa meskipun ada kampanye ransomware dengan ekstensi .sorry sebelumnya, serangan saat ini menggunakan encryptor yang berbeda dan tidak memiliki kaitan.
Namun demikian, bahaya eksploitasi celah cPanel ini sangat nyata dan masif.
Semua pengguna cPanel dan WHM diimbau untuk segera menginstal pembaruan keamanan yang tersedia. Langkah ini sangat krusial untuk melindungi situs web mereka dari serangan ransomware dan pencurian data. ⚠️
Karena serangan ini baru dimulai, diprediksi bahwa tingginya tingkat eksploitasi akan terus meningkat dalam beberapa hari ke depan dan minggu mendatang. Prioritas utama adalah menerapkan patch keamanan darurat ini tanpa penundaan.