Une faille **cPanel** nouvellement divulguée, suivie sous la référence **CVE-2026-41940**, est massivement exploitée pour pirater des sites web et chiffrer des données dans des attaques de ransomware "Sorry". Cette semaine, une mise à jour d'urgence pour WHM et **cPanel** a été publiée pour corriger une faille critique de contournement d'authentification qui permet aux attaquants d'accéder aux panneaux de contrôle. WHM et **cPanel** sont des panneaux de contrôle d'hébergement web basés sur Linux pour la gestion des serveurs et des sites web. Tandis que WHM offre un contrôle au niveau du serveur, **cPanel** fournit un accès administrateur au backend du site web, à la webmail et aux bases de données. Peu après sa publication, il a été signalé que la faille était activement exploitée dans la nature en tant que zero-day, avec des tentatives d'exploitation remontant à fin février. Les observateurs de la sécurité internet signalent qu'au moins 44 000 adresses IP exécutant **cPanel** ont depuis été compromises dans des attaques en cours. ## Faille cPanel exploitée pour des attaques de ransomware Sorry De nombreuses sources ont rapporté que des attaquants exploitaient la faille **cPanel** pour pirater des serveurs et déployer un chiffreur Linux basé sur Go pour le ransomware "Sorry" [[VirusTotal](https://www.virustotal.com/gui/file/2fc0a056fd4eff5d31d06c103af3298d711f33dbcd5d122cae30b571ac511e5a)]. Il y a eu de nombreux rapports de sites web affectés par les attaques, y compris sur les [forums de BleepingComputer](https://www.bleepingcomputer.com/forums/t/815795/sorry-ransomware/), où une victime a partagé des échantillons de fichiers chiffrés et le contenu de la note de rançon. Depuis, une exploitation généralisée et des attaques de ransomware ont été observées, avec des centaines de sites compromis déjà indexés par Google.  *Liste Google des sites web touchés par les attaques de ransomware Sorry. Source : BleepingComputer* Le chiffreur de ransomware Sorry est conçu spécifiquement pour Linux et ajoutera l'extension ".sorry" à tous les fichiers chiffrés.  *Fichiers chiffrés par le ransomware Sorry. Source : diozada sur les forums de BleepingComputer* Les rapports indiquent que le ransomware utilise le chiffrement de flux ChaCha20 pour chiffrer les fichiers, la clé de chiffrement étant protégée par une clé publique RSA-2048 intégrée. L'expert en ransomware Rivitna affirme que le seul moyen de déchiffrer ces fichiers est d'obtenir la clé privée RSA-2048 correspondante. "Le déchiffrement est impossible sans une clé privée RSA-2048", a posté Rivitna sur les [forums de BleepingComputer](https://www.bleepingcomputer.com/forums/t/815795/sorry-ransomware/?p=5859832). Dans chaque dossier, une note de rançon nommée `README.md` est créée, demandant à la victime de contacter l'acteur de la menace sur Tox pour négocier un paiement de rançon. La note de rançon est identique pour chaque victime de cette campagne de ransomware, y compris l'ID Tox "3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724", qui est utilisé pour contacter l'acteur de la menace.  *Note de rançon du ransomware Sorry. Source : BleepingComputer* Il convient de noter qu'une campagne précédente utilisait un chiffreur HiddenTear pour chiffrer les fichiers et ajouter l'extension ".sorry". La campagne actuelle utilise un chiffreur différent et n'est pas liée. Tous les utilisateurs de **cPanel** et WHM sont invités à installer immédiatement les [mises à jour de sécurité disponibles](https://support.cpanel.net/hc/en-us/articles/40073787579671-Security-CVE-2026-41940-cPanel-WHM-WP2-Security-Update-04-28-2026) pour protéger leurs sites web contre les attaques de ransomware et le vol de données. Les attaques viennent de commencer, et une augmentation de l'exploitation est anticipée dans les jours et semaines à venir. ## 99% de ce que Mythos a trouvé n'est toujours pas corrigé. L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits arrive. Lors du Sommet de Validation Autonome (12 et 14 mai), découvrez comment une validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de la remédiation. [Réservez Votre Place](https://hubs.li/Q04crVgD0)