TL;DR

1 Luka CVE-2026-41940 w cPanel/WHM ma wynik CVSS 9.8 (CRITICAL). 2 Pozwala na obejście uwierzytelniania i uzyskanie dostępu do panelu kontroli bez dostępu do konta. 3 Co najmniej 44 000 adresów IP z uruchomionym cPanel zostało skompromitowanych. 4 Ransomware Sorry szyfruje pliki, dodając rozszerzenie .sorry, i 5 używa szyfru ChaCha20 z kluczem chronionym RSA-2048 — 6 odszyfrowanie bez prywatnego klucza jest niemożliwe. 7 Łatka dostępna od 28 kwietnia 2026 roku.

W skrócie: jeśli zarządzasz serwerem cPanel — aktualizuj TERAZ. Jeśli korzystasz z hostingu — sprawdź u dostawcy status łatki. Jeśli masz kopie zapasowe — testuj je dzisiaj.

Wektor ataku: CRLF injection w sesji cPanel

8 Luka wynika z CRLF injection (wstrzyknięcia znaków powrotu karetki i przesunięcia linii) w procesie logowania i ładowania sesji cPanel & WHM. 9 Atakujący mogą manipulować ciasteczkiem whostmgrsession poprzez pominięcie oczekiwanego segmentu wartości, aby uniknąć procesu szyfrowania.

W praktyce oznacza to, że każdy — bez żadnych poświadczeń — może wysłać specjalnie sformułowane żądanie HTTP i zalogować się do panelu kontroli serwera. Nie trzeba znać hasła administratora. Nie trzeba mieć dostępu do konta. Wystarczy znać adres IP serwera cPanel.

10 Luka dotyczy wersji cPanel i WHM po wersji 11.40. 11 Również produkt WP Squared jest narażony. 12 Około 1,5 miliona instancji cPanel jest potencjalnie narażonych na internet — każdy z nich to potencjalny cel.

Jak to wygląda w praktyce

13 Exploitacja była obserwowana od około 23 lutego 2026 roku, przed publicznym ujawnieniem — przez dwa miesiące atakujący mieli dostęp do paneli kontroli bez wiedzy administratorów. 14 Setki skompromitowanych stron zostały już zaindeksowane w Google, co ułatwia atakującym znalezienie nowych celów.

Atak przebiega w trzech krokach:

  1. Atakujący skanuje internet w poszukiwaniu serwerów cPanel (porty TCP/2083 lub TCP/2087).
  2. Wysyła specjalnie sformułowane żądanie z manipulowanym ciasteczkiem sesji.
  3. Uzyskuje dostęp do panelu kontroli i może:
    • Zainstalować backdoor (trwały dostęp do systemu)
    • Pobrać dane użytkowników i bazy danych
    • Wdrożyć ransomware
    • Modyfikować strony internetowe

Ransomware Sorry: szyfrowanie bez możliwości odzyskania

4 Ransomware Sorry jest szyfratorem opartym na Go dla systemu Linux, który dołącza rozszerzenie .sorry do zaszyfrowanych plików. 5 Używa szyfru strumieniowego ChaCha20 do szyfrowania plików z kluczem chronionym osadzonym publicznym kluczem RSA-2048.

To oznacza, że:

  • Każdy plik na serwerze zostaje zaszyfrowany (bazy danych, pliki użytkowników, konfiguracja).
  • Klucz deszyfrujący jest chroniony kluczem publicznym RSA-2048 — atakujący ma prywatny klucz, Ty nie.
  • 6 Odszyfrowanie plików bez odpowiedniego prywatnego klucza RSA-2048 jest niemożliwe.

To nie jest błąd w implementacji, który można obejść — to matematyka. Bez prywatnego klucza — dane są stracone.

15 Notatka o okupie zawiera ID Tox do kontaktu z atakującym: 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724. Sprawcy żądają okupu za odszyfrowanie — ale nawet jeśli zapłacisz, nie ma gwarancji, że otrzymasz klucz.

Wskaźniki kompromitacji

Rozszerzenie pliku: .sorry
ID Tox atakującego: 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724
Porty docelowe: TCP/2083 (cPanel), TCP/2087 (cPanel)
Proces: Szukaj procesów Go na serwerze Linux (ransomware Sorry jest napisany w Go)
Logi: Sprawdź logi dostępu cPanel (/usr/local/cpanel/logs/access_log) pod kątem anomalnych żądań z manipulowanymi ciasteczkami

Co zrobić w 24-48 godzin

Dla administratorów cPanel/WHM

  1. Aktualizuj NATYCHMIAST7 cPanel wydał łatkę bezpieczeństwa 28 kwietnia 2026 roku. Zaloguj się do panelu WHM i uruchom aktualizację. Jeśli nie możesz zalogować się (bo serwer jest już skompromitowany) — przejdź do kroku 3.

  2. Sprawdź logi dostępu — przeszukaj /usr/local/cpanel/logs/access_log pod kątem anomalnych żądań z ostatnich 2 miesięcy (od ~23 lutego). Szukaj żądań POST do /login/ z niezwykłymi ciasteczkami whostmgrsession.

  3. Jeśli podejrzewasz, że serwer został skompromitowany:

    • Odłącz serwer od internetu (wyłącz porty 2083/2087 na firewall’u).
    • Nie usuwaj plików — mogą być potrzebne do analizy.
    • Skontaktuj się z zespołem reagowania na incydenty — CERT Polska (cert.pl) lub lokalny dostawca.

  4. Kopie zapasowe — jeśli masz kopie zapasowe sprzed 23 lutego 2026 roku, testuj je dzisiaj. Upewnij się, że są dostępne i możliwe do przywrócenia.

Dla użytkowników hostingu (MŚP, e-commerce, blogi)

  1. Skontaktuj się z dostawcą hostingu — zapytaj:

    • Czy serwer, na którym hostowana jest Twoja strona, został zaktualizowany?
    • Czy były jakiekolwiek anomalie w dostępie do panelu kontroli?
    • Czy dostawca ma backupy sprzed 23 lutego?

  2. Sprawdź swoją stronę — czy pliki mają rozszerzenie .sorry? Czy strona nie ładuje się? Czy pojawiła się notatka o okupie?

  3. Włącz 2FA (uwierzytelnianie dwuetapowe) — jeśli dostawca to oferuje, włącz je na swoim koncie hostingu. To może utrudnić atakującemu dostęp do panelu po wdrożeniu łatki.

  4. Testuj kopie zapasowe — jeśli masz dostęp do kopii zapasowych, upewnij się, że są dostępne i możliwe do przywrócenia.

Dla polskich firm i administracji

Polskie firmy MŚP, agencje interaktywne i dostawcy usług hostingu są szczególnie narażeni — wiele z nich zarządza serwerami za pośrednictwem cPanel. Jeśli Twoja firma hostuje strony klientów na cPanel:

  1. Audyt infrastruktury — sprawdź, które serwery korzystają z cPanel i jakie wersje są zainstalowane.
  2. Plan aktualizacji — zaplanuj aktualizację wszystkich serwerów w ciągu 48 godzin.
  3. Komunikacja z klientami — poinformuj klientów o luce i statusie łatki.
  4. Monitoring — włącz monitoring dostępu do portów 2083/2087 i alertuj na anomalie.

Kontekst: zero-day przez dwa miesiące

13 Exploitacja CVE-2026-41940 była obserwowana od około 23 lutego 2026 roku, przed publicznym ujawnieniem — przez dwa miesiące to była luka zero-day (nieznana producentowi). 16 Firma watchTowr Labs opublikowała analizę root-cause i proof-of-concept exploit.

17 CVE-2026-41940 zostało dodane do katalogu Known Exploited Vulnerabilities (KEV) CISA — to oznacza, że luka jest aktywnie exploitowana i jest priorytetem dla agencji bezpieczeństwa.

18 Dostawcy hostingu (Namecheap, KnownHost, HostPapa, InMotion) preemptywnie zablokowali porty TCP/2083 i TCP/2087 w celu ochrony klientów — to pokazuje skalę problemu. Duże firmy hostingowe musiały podjąć nadzwyczajne kroki, aby chronić swoich klientów.

Disclaimer

Artykuł zawiera rekomendacje techniczne, ale nie zastępuje konsultacji ze specjalistą bezpieczeństwa. Jeśli podejrzewasz kompromitację serwera, skontaktuj się z zespołem reagowania na incydenty lub CERT Polska (cert.pl).

Źródła

Zobacz też

Footnotes

  1. Wynik CVSS dla CVE-2026-41940 wynosi 9.8 (CRITICAL) — https://nvd.nist.gov/vuln/detail/CVE-2026-41940

  2. Luka CVE-2026-41940 w cPanel/WHM pozwala na obejście uwierzytelniania i uzyskanie dostępu do panelu kontroli — https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/

  3. Co najmniej 44 000 adresów IP z uruchomionym cPanel zostało skompromitowanych w atakach — https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/

  4. Ransomware Sorry jest szyfratorem opartym na Go dla systemu Linux, który dołącza rozszerzenie .sorry do zaszyfrowanych plików — https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/ 2

  5. Ransomware Sorry używa szyfru strumieniowego ChaCha20 do szyfrowania plików z kluczem chronionym osadzonym publicznym kluczem RSA-2048 — https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/ 2

  6. Odszyfrowanie plików zaszyfrowanych ransomware’em Sorry jest niemożliwe bez odpowiedniego prywatnego klucza RSA-2048 — https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/ 2

  7. cPanel wydał łatkę bezpieczeństwa 28 kwietnia 2026 roku — https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/ 2

  8. Luka jest wynikiem CRLF injection w procesie logowania i ładowania sesji cPanel & WHM — https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/

  9. Atakujący mogą manipulować ciasteczkiem whostmgrsession poprzez pominięcie oczekiwanego segmentu wartości ciasteczka, aby uniknąć procesu szyfrowania — https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/

  10. Luka dotyczy wersji cPanel i WHM po wersji 11.40 — https://nvd.nist.gov/vuln/detail/CVE-2026-41940

  11. Luka dotyczy również produktu WP Squared — https://nvd.nist.gov/vuln/detail/CVE-2026-41940

  12. Około 1,5 miliona instancji cPanel jest potencjalnie narażonych na internet — https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/

  13. Exploitacja CVE-2026-41940 była obserwowana od około 23 lutego 2026 roku, przed publicznym ujawnieniem — https://www.picussecurity.com/resource/blog/cve-2026-41940-explained-cpanel-whm-authentication-bypass-hit-1-5m-servers 2

  14. Setki skompromitowanych stron zostały już zaindeksowane w Google — https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/

  15. Notatka o okupie zawiera ID Tox do kontaktu z atakującym: 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/

  16. Firma watchTowr Labs opublikowała analizę root-cause i proof-of-concept exploit dla CVE-2026-41940 — https://www.picussecurity.com/resource/blog/cve-2026-41940-explained-cpanel-whm-authentication-bypass-hit-1-5m-servers

  17. CVE-2026-41940 zostało dodane do katalogu Known Exploited Vulnerabilities (KEV) CISA — https://nvd.nist.gov/vuln/detail/CVE-2026-41940

  18. Dostawcy hostingu (Namecheap, KnownHost, HostPapa, InMotion) preemptywnie zablokowali porty TCP/2083 i TCP/2087 w celu ochrony klientów — https://www.picussecurity.com/resource/blog/cve-2026-41940-explained-cpanel-whm-authentication-bypass-hit-1-5m-servers