وضعیت قرمز در وب‌فارسی؛ باج‌افزار «Sorry» با عبور از سد cPanel هزاران سایت را به زانو درآورد!

۱. کالبدشکافی حمله: نقص CVE-2026-41940 چیست؟

گزارش‌ها حاکی از آن است که یک نقص دور زدن احراز هویت (Authentication Bypass) در cPanel و WHM  کشف شده که به هکرها اجازه می‌دهد بدون داشتن رمز عبور، به بالاترین سطح دسترسی پنل مدیریت برسند.

• بهره‌برداری روز صفر (Zero-day): بر اساس گزارش شرکت امنیتی Shadowserver، هکرها از اواخر فوریه در حال استفاده از این حفره بوده‌اند و تاکنون بیش از ۴۴,۰۰۰ سرور در سراسر جهان آلوده شده‌اند.
• نفوذ گسترده: این نقص هم در سطح سرور (WHM) و هم در سطح سایت (cPanel) نفوذ را میسر کرده و راه را برای سرقت پایگاه داده‌ها و ایمیل‌ها باز می‌کند.

۲. باج‌افزار «Sorry»؛ قفل غیرقابل نفوذ بر داده‌های لینوکسی

هکرها پس از ورود به سرور، یک کد مخرب لینوکسی مبتنی بر زبان برنامه‌نویسی Go را اجرا می‌کنند که باج‌افزار Sorry نام دارد.

• مکانیزم رمزنگاری: این باج‌افزار از الگوریتم ChaCha20  برای قفل کردن فایل‌ها استفاده می‌کند و کلید اصلی آن با استاندارد RSA-2048 محافظت می‌شود. به گفته کارشناسان، بدون داشتن کلید خصوصی هکرها، بازیابی فایل‌ها عملاً غیرممکن است.
• نشانه آلودگی: تمام فایل‌های شما به پسوند .sorry  تغییر نام می‌دهند و در هر پوشه فایلی به نام README.md  قرار می‌گیرد که حاوی دستورالعمل پرداخت باج از طریق پیام‌رسان Tox است.

۳. چرا ۲۴ نیوز نسبت به این حمله هشدار جدی می‌دهد؟

در زیرساخت وب ایران،cPanel  انتخاب اول اکثر هاستینگ‌ ها است. بسیاری از سایت‌های ایرانی از نسخه‌های قدیمی یا کرک‌شده استفاده می‌کنند که دریافت وصله‌های امنیتی (Patches) را با مشکل روبه‌رو می‌کند. این یعنی هزاران کسب‌وکار داخلی در معرض خطر نابودی کامل داده‌ها قرار دارند.

اقدامات اورژانسی پیشنهادی ۲۴ نیوز:

1. به‌روزرسانی فوری: در اولین ثانیه، پنل خود را به آخرین نسخه منتشر شده توسط cPanel به‌روزرسانی کنید.
2. جداسازی نسخه‌های پشتیبان((Backup Isolation: اطمینان حاصل کنید که بک‌آپ‌های شما در همان سرور قرار ندارند. هکرها ابتدا بک‌آپ‌های روی سرور را حذف یا رمزنگاری می‌کنند.
3. تغییر پسوردهای روت: پس از آپدیت، تمامی پسوردهای سطح مدیریت و روت را تغییر دهید.

برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)