Criminelen verspreiden Linux-ransomware via beveiligingslek in cPanel

In dit artikel:

Criminelen misbruiken een kritieke kwetsbaarheid in cPanel en WebHost Manager (WHM) om Linux-ransomware en een Mirai-variant te verspreiden, meldt securitybedrijf Censys. Het lek (CVE-2026-41940) maakt een authenticatieomzeiling mogelijk, waardoor onbevoegden op afstand het controlepaneel kunnen binnendringen en code kunnen uitvoeren. Patches zijn sinds 28 april beschikbaar; sommige meldingen geven aan dat misbruik al vanaf 23 februari plaatsvond.

Censys trof ruim 7.100 servers met versleutelde bestanden die de extensie “.sorry” kregen — vermoedelijk de voor Linux ontwikkelde Sorry-ransomware — en noteerde daarnaast bijna 10.000 systemen die een Mirai-variant draaien voor DDoS-misbruik. Vorige week meldde The Shadowserver Foundation dat mogelijk tot 44.000 cPanel-installaties zijn aangetast. Censys baseert zijn tellingen op meldingen van open directories en waarschuwt dat de situatie nog in ontwikkeling is, waardoor de volledige omvang onzeker blijft.

WHM en cPanel zijn veelgebruikte Linux-interfaces voor hostingproviders en accountbeheer, wat de impact vergroot. Aanbevolen maatregelen: direct de beschikbare updates installeren, geïnfecteerde servers isoleren, backups herstellen, wachtwoorden en sleutels vernieuwen en netwerkverkeer monitoren op verdachte activiteit.