Una recente scoperta ha messo in luce una grave vulnerabilità nei sistemi cPanel e WHM, che viene attivamente sfruttata dai cybercriminali per installare il ransomware noto come Sorry. Questa situazione rappresenta un serio rischio per i siti web non aggiornati e richiede un intervento immediato da parte degli amministratori di sistema.
La vulnerabilità di cPanel e WHM
cPanel e WHM sono strumenti di gestione del web hosting molto diffusi, specialmente tra gli utenti meno esperti. WHM, acronimo di WebHost Manager, consente il controllo a livello di server, mentre cPanel fornisce agli utenti un’interfaccia per gestire i propri siti web, inclusi webmail e database. La vulnerabilità, identificata come CVE-2026-41940, colpisce tutte le versioni superiori alla 11.40 e consente agli hacker di aggirare i sistemi di autenticazione. Ciò significa che i malintenzionati possono accedere liberamente ai pannelli di controllo, creando opportunità per installare backdoor, rubare informazioni sensibili, inviare spam e persino controllare i server per attività illecite.
Il ransomware Sorry: un pericolo in crescita
Il ransomware Sorry si distingue per la sua capacità di crittografare i file delle vittime, aggiungendo l’estensione .sorry ai documenti compromessi. Gli attaccanti utilizzano la crittografia ChaCha20, protetta da una chiave pubblica RSA-2048, rendendo difficile il recupero dei dati senza il pagamento del riscatto. Dopo la cifratura, viene creato un file di testo contenente istruzioni per contattare gli hacker e negoziare il riscatto.
Misure di sicurezza da adottare
In risposta a questa vulnerabilità, WebPros International ha rilasciato patch di sicurezza a fine aprile per mitigare i rischi. Tuttavia, molti siti non hanno ancora applicato questi aggiornamenti, esponendosi così a potenziali attacchi. Gli amministratori di sistema sono esortati a intervenire tempestivamente, installando le patch disponibili. In alternativa, se l’aggiornamento immediato non è possibile, è consigliato bloccare l’accesso remoto alle porte 2083, 2087, 2095 e 2096, come già fatto da alcune aziende di web hosting.
Per restare sempre aggiornato seguici su Google News!
