cPanel i el seu panell d’administració WHM governen una part enorme de l’allotjament compartit d’internet. Per això CVE-2026-41940 fa tanta por: és un bypass d’autenticació que deixa entrar qualsevol al panell sense usuari ni contrasenya. Amb CVSS 9.8/9.3, un atacant remot i sense autenticar pot saltar-se el login i operar com si fos l’administrador del servidor.
La fallada es classifica com a CWE-306, absència d’autenticació per a una funció crítica. Dit clar: una part del flux de login que hauria d’exigir credencials simplement no ho feia. Un cop dins de WHM, l’atacant té les claus de tot el servidor: comptes de client, fitxers, bases de dades, claus SSH i tasques programades.
Per què va ser tan greu
El que preocupa no va ser només la fallada, sinó la rapidesa amb què es va convertir en negoci. CISA la va incorporar al seu catàleg de vulnerabilitats explotades activament (KEV) amb data límit de remediació el 3 de maig de 2026, cosa que obligava les agències federals dels EUA a aplicar el pegat de seguida. Aquesta entrada al KEV sol ser el senyal que una cosa s’està fent servir en atacs reals, i aquí es va complir de sobres.
Sobre el terreny van aparèixer diversos grups alhora. El més visible va desplegar un xifrador escrit en Go per a Linux que afegeix l’extensió .sorry als fitxers i exigeix el rescat per Tox. Censys va arribar a comptar 8.859 hosts amb fitxers xifrats amb aquesta extensió, dels quals 7.135 feien servir cPanel/WHM. En molts casos els atacants també van esborrar les còpies de seguretat i van deixar pàgines de defacement demanant 0,1 BTC.
No va ser l’únic. Una variant de la botnet Mirai (nuclear.x86) va apuntar a instal·lacions de cPanel per crear comptes d’administrador persistents, desactivar els registres i deixar caure miners de criptomonedes i bots de DDoS. Investigadors també van assenyalar campanyes d’espionatge contra entitats governamentals i militars al sud-est asiàtic, amb víctimes a les Filipines, Laos, el Canadà, Sud-àfrica i els EUA.
Com saber si t’afecta i què fer
Si administres un servidor amb cPanel/WHM exposat a internet, dona per fet que has estat un objectiu i revisa l’estat del sistema:
- Comprova la versió instal·lada amb
/usr/local/cpanel/cpanel -Vi confirma que tens el pegat aplicat. - Mira a
/var/cpanel/sessions/raw/per si hi ha fitxers de sessió pre-autenticació sospitosos. - Audita WHM per si han aparegut comptes que no reconeixes, claus SSH afegides o cron jobs nous.
- Fes servir l’script de detecció actualitzat de cPanel. La primera versió donava falsos positius, així que assegura’t de tenir l’última.
Si trobes senyals de compromís, no n’hi ha prou amb el pegat: l’atacant ja pot haver deixat persistència. Reconstrueix des d’una còpia neta i renova totes les credencials del servidor. I com que l’extensió .sorry ve acompanyada d’esborrat de backups, val la pena comprovar que les teves còpies queden fora de l’abast del mateix servidor.
Aquest cas s’assembla força a un altre que vam cobrir: un bypass d’autenticació a SmarterMail que també va acabar en ransomware. I el pes del catàleg KEV de CISA ja el vam veure amb MongoBleed: quan una vulnerabilitat hi entra, el rellotge corre en contra teva.