Sebuah kerentanan kritis yang baru saja diungkap pada cPanel (dilacak sebagai CVE-2026-41940) saat ini tengah dieksploitasi secara massal untuk membobol situs web dan mengenkripsi data dalam kampanye serangan ransomware yang dikenal sebagai “Sorry”.
Pekan ini, pembaruan darurat untuk Web Host Manager (WHM) dan cPanel telah dirilis untuk memperbaiki kelemahan bypass autentikasi kritis yang memungkinkan penyerang memperoleh akses ke panel kontrol. Segera setelah rilis tersebut, muncul laporan bahwa celah ini telah dieksploitasi secara aktif di alam liar sebagai zero-day, dengan upaya eksploitasi yang sudah terdeteksi sejak akhir Februari lalu.
Pengawas keamanan internet Shadowserver melaporkan bahwa setidaknya 44.000 alamat IP yang menjalankan cPanel telah disusupi dalam gelombang serangan yang masih berlangsung ini.
Ransomware “Sorry” Incar Lingkungan Linux
Berbagai sumber menyebutkan bahwa peretas telah secara agresif mengeksploitasi kelemahan cPanel sejak hari Kamis untuk membobol server dan menyebarkan enkriptor Linux berbasis bahasa pemrograman Go untuk ransomware “Sorry”. Ratusan situs yang disusupi bahkan sudah mulai terindeks di mesin pencari Google.
Enkriptor ini dirancang secara spesifik untuk lingkungan operasi Linux dan akan menambahkan ekstensi .sorry ke semua file yang berhasil dienkripsi.
Berdasarkan analisis, ransomware ini menggunakan cipher stream ChaCha20 untuk mengenkripsi file, dan kunci enkripsi tersebut dilindungi menggunakan kunci publik RSA-2048 yang tertanam di dalamnya. Pakar ransomware Rivitna menegaskan bahwa satu-satunya cara untuk mendekripsi file-file yang terdampak adalah dengan mendapatkan kunci privat RSA-2048 yang sesuai dari peretas.
Di setiap folder yang disusupi, peretas meninggalkan sebuah catatan tebusan bernama README.md. Catatan tersebut menginstruksikan korban untuk menghubungi aktor ancaman melalui platform pesan anonim Tox (dengan Tox ID yang identik untuk setiap korban) guna menegosiasikan pembayaran uang tebusan.
(Catatan: Kampanye ini tidak memiliki kaitan dengan kampanye ransomware tahun 2018 yang menggunakan enkriptor HiddenTear dengan ekstensi .sorry yang sama).
Peringatan Kritis untuk Pengelola Infrastruktur
Mengingat betapa masif dan cepatnya skala serangan ini, menunda pembaruan sistem bukanlah sebuah opsi.
Khususnya bagi pengelola infrastruktur server independen yang mengoperasikan mesin bare-metal dengan kontrol penuh atas lingkungan Web Host Manager (WHM), pembaruan keamanan darurat ini harus diterapkan secara manual atau otomatis secepat mungkin. Mengamankan celah pada tingkat WHM sangat krusial untuk mencegah penyerang mendapatkan akses administrator ke backend klien, layanan webmail, dan basis data situs web yang dihosting.
Serangan ini diprediksi baru saja dimulai, dan para ahli memperkirakan akan terjadi lonjakan aktivitas eksploitasi yang lebih tinggi dalam beberapa hari dan minggu ke depan.