El bypass de autenticación CVE-2026-41940 en cPanel y WHM se está explotando de forma activa a gran escala para tomar control de paneles expuestos a Internet y desplegar el ransomware Sorry en Linux. Dado el volumen observado, conviene tratar los sistemas expuestos como potencialmente comprometidos, incluso después de aplicar el parche.
Los paneles de hosting son un objetivo prioritario porque concentran credenciales, control de servicios y capacidad de ejecutar cambios con impacto inmediato en múltiples webs y cuentas. En este contexto, un fallo crítico en cPanel y WHM (WebHost Manager) está acelerando intrusiones automatizadas contra servidores expuestos a Internet, con una cadena de ataque que termina, en muchos casos, en cifrado de ficheros y extorsión.
La vulnerabilidad, identificada como CVE-2026-41940, permite un bypass de autenticación que abre la puerta a acceder al panel sin pasar por el proceso normal de login. Se ha distribuido una actualización de emergencia para corregir el problema, pero la actividad observada indica que se viene intentando explotar desde finales de febrero. Además, se han reportado picos que apuntan a decenas de miles de direcciones IP detectadas en sensores y honeypots con señales de compromiso o actividad maliciosa asociada. Esa cifra, en torno a 44.000 IP, refleja oleadas de escaneo, intentos de explotación y fuerza bruta, y no equivale necesariamente al número de servidores ya cifrados, pero sí describe una presión operativa muy alta.
A nivel técnico, el bypass se apoya en una inyección CRLF dentro del flujo de login y carga de sesión, lo que permite escribir atributos arbitrarios en ficheros de sesión en disco y reutilizarlos para forjar una sesión con privilegios de root. Un punto clave del vector combina una cabecera Authorization Basic manipulada con un valor de cookie whostmgrsession con formato anómalo, concretamente sin el segmento ob esperado. Al faltar esa parte, el tratamiento del campo de contraseña cambia y se facilita que caracteres de salto de línea acaben sin filtrar en el fichero de sesión, convirtiendo una única entrada en múltiples líneas de tipo key=value. En la práctica, se han visto inyecciones de atributos como successful_internal_auth_with_timestamp, hasroot, tfa_verified y user=root, orientados a superar comprobaciones posteriores.
La explotación completa no se limita a escribir el fichero raw, porque el sistema prioriza un fichero de caché en JSON. Por eso, la cadena incluye un paso adicional para forzar que se lea el fichero raw y se reescriba la caché, elevando las claves inyectadas al nivel adecuado. Se han descrito rutas que provocan eventos tipo token_denied, que terminan reserializando la sesión y consolidando los campos maliciosos como atributos válidos de autenticación.
Una vez dentro, los ataques observados culminan con el despliegue de un cifrador para Linux asociado al ransomware Sorry, implementado en Go. Los ficheros cifrados pasan a llevar la extensión .sorry y se deja una nota de rescate denominada README.md. En cuanto a la criptografía, el cifrado utiliza ChaCha20 y la clave de cifrado se protege con una RSA-2048 public key embebida, lo que hace que la recuperación sin la clave privada correspondiente no sea viable en términos prácticos. La negociación con las víctimas se canaliza mediante Tox, y se ha observado un identificador consistente en las muestras analizadas. También es importante no confundir esta campaña con un ransomware de 2018 que usaba la misma extensión, ya que se trata de una operación distinta.
La urgencia aumenta porque CISA incorporó CVE-2026-41940 al catálogo Known Exploited Vulnerabilities el 30 de abril de 2026, confirmando explotación activa y reforzando la necesidad de actuar con rapidez. La telemetría pública sitúa a Estados Unidos como el país con más sistemas afectados, con Francia y Países Bajos a continuación, un patrón coherente con la alta concentración de servicios de hosting y VPS.
La corrección aplicada introduce sanitización centralizada en la ruta de guardado de sesión y un tratamiento específico cuando falta el segmento ob, codificando en hexadecimal el valor de pass para impedir que se convierta en múltiples líneas en disco. Se ha publicado una lista amplia de versiones corregidas, que cubre múltiples ramas, incluyendo 11.86.0.41, 11.110.0.97, 11.118.0.63, 11.124.0.35, 11.126.0.54, 11.130.0.19, 11.132.0.29, 11.134.0.20, 11.136.0.5 y WP Squared 136.1.7. Aun así, existen series intermedias en las que no hay parche in situ, lo que obliga a saltar de versión, migrar o, como mínimo, aislar la superficie expuesta mientras se completa el cambio.
En términos de respuesta, aplicar el parche es imprescindible, pero no suficiente si el servidor ya fue alcanzado antes. En instancias expuestas a Internet conviene priorizarlo como incidente, asumir posible compromiso y revisar indicadores operativos como la presencia de .sorry, el archivo README.md, procesos con alto volumen de I/O y la ejecución de binarios desconocidos, especialmente artefactos Go recientes. Tras contener, resulta prudente rotar credenciales del panel y de cuentas administrativas asociadas, y validar copias de seguridad offline y el plan de restauración antes de intentar volver a producción.
Mientras se completa el parcheado, una medida de contención efectiva es limitar o cerrar los puertos de cpsrvd mediante lista blanca hacia IPs de administración, en particular 2082, 2083, 2086, 2087, 2095 y 2096. También se recomienda situar cpsrvd detrás de un punto de inspección, por ejemplo Apache con ModSecurity, y exponer el acceso mediante proxy subdomains, dejando los puertos directos inaccesibles desde Internet. En paralelo, pueden añadirse reglas WAF para bloquear CR o LF tras decodificar Authorization Basic y para rechazar cookies whostmgrsession con formato anómalo.
Para confirmar o descartar manipulación, es útil ejecutar un escaneo forense de sesiones en /var/cpanel/sessions/raw y correlacionarlo con logs de acceso y login, buscando combinaciones sospechosas como token_denied junto con cp_security_token y origin_as_string con method=badpass. Tras actualizar, conviene purgar sesiones potencialmente manipuladas y reiniciar el servicio cpsrvd para reducir el riesgo de reutilización de artefactos antiguos. También se debe comprobar si las actualizaciones están deshabilitadas o fijadas a una versión, por ejemplo mediante /etc/cpupdate.conf, y corregirlo para permitir parches de emergencia.
Finalmente, se ha descrito un efecto colateral de integridad de logs: peticiones no autenticadas con Authorization WHM pueden contaminar el campo user en access logs aunque no lleguen a ejecutar acciones privilegiadas. Por ello, la respuesta debería incluir validaciones de integridad y no basarse solo en el nombre de usuario registrado en logs para concluir que una acción fue legítima. En conjunto, el mensaje operativo es claro: parchear rápido, reducir exposición de puertos, buscar señales de intrusión y no dar por resuelto el riesgo únicamente por estar en una versión corregida.
Más información
- BleepingComputer – Critrical cPanel flaw mass-exploited in «Sorry» ransomware attacks : https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/
- BleepingComputer – Critrical cPanel flaw mass-exploited in «Sorry» ransomware attacks : https://www.bleepingcomputer.com/news/security/critrical-cpanel-flaw-mass-exploited-in-sorry-ransomware-attacks/amp/
- watchTowr Labs – The Internet Is Falling Down, Falling Down, Falling Down (cPanel & WHM Authentication Bypass CVE-2026-41940) : https://labs.watchtowr.com/the-internet-is-falling-down-falling-down-falling-down-cpanel-whm-authentication-bypass-cve-2026-41940/
- Rapid7 – CVE-2026-41940: cPanel & WHM Authentication Bypass : https://www.rapid7.com/blog/post/etr-cve-2026-41940-cpanel-whm-authentication-bypass/
- SecurityWeek – Over 40,000 Servers Compromised in Ongoing cPanel Exploitation : https://www.securityweek.com/over-40000-servers-compromised-in-ongoing-cpanel-exploitation/
- Canadian Centre for Cyber Security – cPanel security advisory (AV26-404) – Update 1 : https://www.cyber.gc.ca/en/alerts-advisories/cpanel-security-advisory-av26-404
- R-fx Networks – Reverse-Engineering CVE-2026-41940 (SessionScribe): cPanel/WHM Session Forgery : https://rfxn.com/research/cpanel-sessionscribe-cve-2026-41940
Deja una respuesta