Criminelen maken gebruik van een kritiek beveiligingslek in cPanel en WebHost Manager (WHM) om Linux-ransomware en Mirai-malware te verspreiden. Dit meldt securitybedrijf Censys. Volgens de onderzoekers zijn bij de aanvallen minstens zevenduizend servers getroffen.

WHM is een Linux-gebaseerde interface die hostingproviders gebruiken voor serverbeheer en het aanmaken van cPanel-accounts. cPanel zelf is eveneens Linux-gebaseerd en bedoeld voor individuele hostingaccounts. Beide worden veelvuldig ingezet door hostingbedrijven en systeembeheerders. Het kritieke beveiligingslek, bekend als CVE-2026-41940, betreft een authenticatie bypass waardoor aanvallers zonder inloggegevens op afstand toegang krijgen tot het controlepaneel en code kunnen uitvoeren.

Updates voor deze kwetsbaarheid zijn sinds 28 april beschikbaar, maar misbruik zou al sinds 23 februari plaatsvinden. Een aanvallersgroep gebruikt het lek om bestanden op de Linux-servers te versleutelen met ransomware, waarbij de bestanden de extensie '.sorry' krijgen. Censys ontdekte meer dan 7100 servers met cPanel of WHM waarop deze versleuteling heeft plaatsgevonden, gebaseerd op servers met open directories. Op de getroffen systemen wordt een losgeldbericht achtergelaten met instructies voor het ontsleutelen van de bestanden. Volgens Bleeping Computer is de Sorry-ransomware specifiek ontwikkeld voor Linux.

Naast de ransomware wordt het cPanel-lek ook gebruikt voor de verspreiding van een variant van Mirai-malware. Mirai is oorspronkelijk ontworpen voor Internet of Things-apparaten, maar er bestaan inmiddels diverse varianten die op verschillende systemen actief zijn. De nu waargenomen Mirai-variant gebruikt de gehackte servers om ddos-aanvallen uit te voeren. Naar schatting zijn bijna tienduizend servers met deze malware besmet. Censys benadrukt dat de situatie zich nog ontwikkelt en de volledige omvang nog onduidelijk is. Eerder meldde The Shadowserver Foundation dat zeker 44.000 cPanel-installaties zijn gehackt.