Criminelen maken misbruik van een kritiek beveiligingslek in cPanel en WebHost Manager (WHM) om Linux-ransomware en Mirai-malware te verspreiden, zo meldt securitybedrijf Censys. Bij de aanvallen zouden zeker zevenduizend servers zijn getroffen, aldus de onderzoekers. WHM is een Linux-gebaseerde interface bedoeld voor hostingproviders die daarmee servers kunnen beheren en cPanel-accounts kunnen aanmaken en beheren. CPanel, ook Linux-gebaseerd, is een interface bedoeld voor individuele hosting-accounts. Hostingbedrijven en systeembeheerders maken er vaak gebruik van.
Het kritieke beveiligingslek in WHM en cPanel, aangeduid als CVE-2026-41940, is een authenticatie bypass kwetsbaarheid. Hierdoor kunnen ongeauthenticeerde aanvallers op afstand toegang tot het controlepaneel krijgen, alsmede op afstand code uitvoeren. Updates voor CVE-2026-41940 zijn sinds 28 april beschikbaar, maar sommige partijen melden dat misbruik al sinds 23 februari plaatsvindt.
Een groep aanvallers misbruikt het beveiligingslek nu om bestanden op de onderliggende Linux-server te versleutelen. Het securitybedrijf ontdekte meer dan 7100 servers die cPanel of WHM draaien en waarbij bestanden waren versleuteld en voorzien van een '.sorry' extensie. De onderzoekers baseren zich op servers met open directories. De aanvallers laten op getroffen systemen een boodschap achter met instructies voor het ontsleutelen van de bestanden. Bleeping Computer laat weten dat de Sorry-ransomware specifiek voor Linux is ontworpen.
Naast de Linux-ransomware meldt Censys dat het cPanel-lek ook wordt gebruikt voor de verspreiding van een Mirai-variant. Mirai is malware die in eerste instantie werd ontwikkeld voor Internet of Things-apparaten. Sinds de eerste versie zijn er tal van varianten verschenen die op allerlei systemen werken. De nu waargenomen Mirai-variant gebruikt de gehackte server voor het uitvoeren van ddos-aanvallen. Bijna tienduizend servers zouden met deze malware zijn besmet. Censys merkt op dat de situatie zich nog aan het ontwikkelen is, waardoor de volledige omvang onduidelijk is. Vorige week meldde The Shadowserver Foundation dat zeker 44.000 cPanel-installaties zijn gehackt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
