La faille de sécurité critique affectant cPanel et WHM, associée à la référence CVE-2026-41940, est actuellement exploitée massivement. Grâce à elle, les pirates peuvent prendre le contrôle de serveurs Linux pour ensuite chiffrer les données avec le ransomware Sorry. Voici ce que l’on sait.

Une faille de sécurité critique : CVE-2026-41940

Le panneau de contrôle web basé sur Linux, cPanel, ainsi que son interface de gestion de serveurs WHM, sont directement ciblés par une vaste campagne d’attaques. Celle-ci est directement liée à une faille de sécurité critique (CVE-2026-41940) patchée il y a quelques jours et permettant de contourner l’authentification.

Cette faille serait d’ailleurs exploitée en tant que zero-day depuis la fin du mois de février. Mais, depuis la divulgation de cette vulnérabilité, la situation s’est aggravée : des centaines de sites web piratés sont indexés sur Google. Parmi l’une des campagnes en cours, il y en a une qui implique l’utilisation du ransomware Sorry pour chiffrer les données.

Le ransomware Sorry chiffre les serveurs Linux

Une fois l’accès au serveur obtenu grâce à la faille cPanel, les attaquants déploient le ransomware Sorry. Codé en Go et conçu pour cibler les serveurs Linux, ce ransomware chiffre les fichiers et ajoute l’extension à chaque fichier chiffré. Comme souvent, une note de rançon () est déposée sur le serveur et sans la clé de chiffrement, la récupération des données est impossible.

Ces derniers jours, différents posts à ce sujet ont été publiés sur le web, comme sur le forum de Kaspersky, par exemple. “Mon serveur Linux a récemment été infecté par un ransomware qui a remplacé l’extension de tous les fichiers de mon site web par .sorry.”, peut-on lire.

Ce qui m’a surpris, c’est un post publié par The Shadowserver sur X. Il révèle que les serveurs cPanel préalablement compromis via la faille CVE-2026-41940 sont exploités par les cybercriminels pour mener d’autres actions malveillantes. Concrètement, ces serveurs détournés ont été observés en train de :

• Mener des attaques par force brute de manière automatisée.
• Scanner le Web à la recherche de nouvelles cibles vulnérables.
• Lancer des exploits contre d’autres infrastructures.

Le message de The Shadowserver précise qu’au 30 avril 2026, au moins 44 000 adresses IP exécutant cPanel ont d’ores et déjà été compromises par ces attaques en cours. La tendance semble être à la baisse si l’on se réfère aux statistiques actualisées.

En bref, la faille de sécurité CVE-2026-41940 est à prendre très au sérieux : si vous utilisez cPanel ou WHM, vous devez patcher en urgence votre serveur. Cela est d’autant plus vrai si l’interface de gestion est exposée sur le Web, ce qui est malheureusement très fréquent avec ce type d’outil.