Une faille cPanel critique s'est invitée dans l'actualité, et elle n'est pas à prendre à la légère. L'exploit, désormais public et référencé sous la nomenclature CVE-2026-41940, permet un contournement d'authentification redoutable. Les conséquences sont directes et potentiellement dévastatrices pour vos infrastructures : accès non autorisé aux panneaux de contrôle, vol de données, et le déploiement de ransomwares tels que "Sorry". Dans le jargon technique, on parle de "critical vulnerability" en anglais, un terme qui reflète la gravité de la situation pour les administrateurs systèmes et réseaux, les RSSI, et les responsables IT. C'est une alerte concrète qui nous rappelle l'importance capitale d'une veille de sécurité rigoureuse et d'une politique de mise à jour systématique.
Comprendre la faille cPanel critique : CVE-2026-41940
Au cœur du problème se trouve une cPanel faille critique référencée CVE-2026-41940. Cette vulnérabilité permet aux attaquants de contourner le mécanisme d'authentification de cPanel et de son interface de gestion associée, WHM (Web Host Manager). En clair, les cybercriminels peuvent se faire passer pour un utilisateur légitime, voire un administrateur, sans avoir à fournir les identifiants corrects. Le score CVSS de 9.8 sur 10 témoigne de la sévérité de cette faille.
Les chercheurs ont identifié que cette vulnérabilité affecte toutes les versions actuellement supportées de cPanel et WHM, y compris les versions antérieures à 11.40. L'exploitation de cette cPanel critical vulnerability a été observée dès la fin février 2026, avant même la publication officielle du correctif. Les attaquants ont rapidement compris l'enjeu : obtenir un accès root ou administrateur à des serveurs Linux gérant une part significative du web.
Mécanisme d'exploitation : l'injection de CRLF
L'origine technique de cette cPanel exploit réside dans une injection de caractères Carriage Return Line Feed (CRLF) lors des processus de connexion et de chargement de session. Le service cpsrvd (cPanel Service Daemon) écrit de nouvelles sessions sur le disque. Un attaquant peut manipuler le cookie whostmgrsession en omettant une partie de sa valeur attendue, évitant ainsi le processus de chiffrement habituel. En injectant des caractères \r\n via un en-tête d'autorisation basique malveillant, l'attaquant peut insérer des propriétés arbitraires, comme user=root, dans son fichier de session. Suite à un rechargement de cette session, l'attaquant se retrouve avec un accès de niveau administrateur.
Les conséquences sont dramatiques :
- Accès complet au panneau de contrôle : Contrôle des sites web, bases de données, emails, configurations DNS.
- Accès root au serveur : Le véritable objectif pour de nombreux attaquants, permettant de déployer des malwares, de voler des identifiants, ou de lancer d'autres attaques.
- Désinformation et déni de service : Modification de contenu, arrêt de services.
Le ransomware Sorry : la conséquence directe de l'exploitation
Lorsque les attaquants parviennent à exploiter la cPanel faille critique, leur objectif immédiat est souvent le chiffrement des données pour exiger une rançon. C'est précisément ce qu'a fait le ransomware "Sorry". Ce malware, codé en Go, est spécifiquement conçu pour cibler les serveurs Linux.
Après avoir compromis un serveur via la faille CVE-2026-41940, les attaquants déploient le ransomware "Sorry". Celui-ci procède au chiffrement de tous les fichiers du serveur, ajoutant l'extension .sorry à chacun d'entre eux. Une note de rançon, généralement nommée README.md, est déposée dans chaque répertoire affecté, expliquant le procédé et indiquant la méthode pour contacter les attaquants et négocier le paiement de la rançon.
L'impact financier et opérationnel pour les entreprises est considérable. La récupération des données sans la clé de déchiffrement, qui est détenue par les attaquants, est pratiquement impossible. Il est crucial de comprendre que cette attaque n'est pas isolée ; des centaines de sites web piratés ont déjà été indexés sur Google, témoignant de l'ampleur de la campagne.
Le détournement de serveurs compromis
Ce qui rend cette menace encore plus insidieuse, c'est que les serveurs compromis par cette cPanel faille critique ne servent pas uniquement à déployer le ransomware "Sorry". Des rapports d'organismes comme The Shadowserver ont révélé que ces infrastructures servent également de base arrière pour d'autres activités malveillantes :
- Attaques par force brute automatisées : Utilisation des serveurs compromis pour lancer des tentatives de connexion sur d'autres cibles.
- Scanning de vulnérabilités : Recherche active de nouvelles machines vulnérables sur Internet.
- Lancement d'exploits contre d'autres infrastructures : Utilisation des ressources pour attaquer d'autres systèmes, rendant difficile la traçabilité de l'origine réelle des attaques.
Au début du mois de mai 2026, il était estimé qu'au moins 44 000 adresses IP exécutant cPanel avaient été compromises. Si la tendance observée était à la baisse, la vigilance reste de mise.
L'importance du patching et des mesures d'urgence
Face à cette cPanel critical vulnerability, la réaction la plus immédiate et la plus efficace est le patch cPanel. Les équipes de cPanel ont réagi rapidement en publiant des mises à jour de sécurité pour les différentes branches supportées. Il est impératif de mettre à jour votre environnement cPanel et WHM vers les versions corrigées.
Les versions corrigées incluent, entre autres :
- 11.86.0.41 et plus
- 11.110.0.97 et plus
- 11.118.0.63 et plus
- 11.124.0.35 et plus
- 11.126.0.54 et plus
- 11.130.0.19 et plus
- 11.132.0.29 et plus
- 11.134.0.20 et plus
- 11.136.0.5 et plus
Pour les utilisateurs de CentOS 6 ou CloudLinux 6, une version spécifique (110.0.103) a été publiée. Une mise à jour a également été déployée pour l'extension WordPress WP Squared (v136.1.7 et versions ultérieures).
Mesures d'urgence et atténuation
Pour les infrastructures qui ne peuvent pas être patchées immédiatement, des mesures d'atténuation peuvent être mises en place :
- Blocage du trafic entrant : Fermer les ports 2083, 2087, 2095 et 2096 au niveau du pare-feu pour restreindre l'accès aux interfaces cPanel et WHM.
- Arrêt des services
cpsrvdetcpdavd: Une mesure plus radicale qui désactive temporairement les démons cPanel.
Certains hébergeurs ont pris des mesures drastiques, comme la désactivation temporaire de cPanel sur leurs serveurs pour prévenir tout risque. C'est un signe fort de la gravité de la situation. La CISA (Cybersecurity and Infrastructure Security Agency) américaine a également inclus cette CVE dans son catalogue de failles exploitées, recommandant d'appliquer les mesures d'atténuation ou de cesser l'utilisation du produit si aucune solution n'est disponible.
FAQ : Réponses Pratiques pour les Administrateurs
Pourquoi cette faille est-elle si dangereuse ?
Cette cPanel faille critique permet un contournement d'authentification, donnant un accès non autorisé à l'interface d'administration du serveur. Cela ouvre la porte au contrôle total des sites web hébergés, à l'installation de malwares, et au chiffrement des données par ransomware.
Comment savoir si mon serveur cPanel est affecté ?
La faille affecte toutes les versions supportées de cPanel et WHM. La meilleure approche est de considérer que votre serveur est potentiellement affecté et d'appliquer le correctif immédiatement. Si vous constatez des comportements anormaux ou des fichiers chiffrés avec l'extension .sorry, c'est un signe évident d'infection.
Quelle est la différence entre cPanel et WHM ?
cPanel est l'interface destinée aux utilisateurs finaux pour gérer leurs sites web, leurs emails, leurs bases de données. WHM (Web Host Manager) est l'interface d'administration de niveau serveur, qui permet de gérer les comptes cPanel, les configurations système, les certificats SSL, etc. La faille CVE-2026-41940 affecte les deux, mais la compromission de WHM est particulièrement grave car elle donne un accès au niveau du système d'exploitation.
Comment le ransomware "Sorry" chiffre-t-il les fichiers ?
Le ransomware "Sorry" utilise l'algorithme de chiffrement ChaCha20 pour chiffrer les fichiers. La clé de chiffrement est protégée par une clé publique RSA-2048 intégrée. Sans la clé privée RSA-2048 correspondante, le déchiffrement est impossible.
Que faire si je ne peux pas patcher immédiatement ?
En attendant le patching, vous pouvez mettre en place des mesures d'atténuation : bloquer l'accès externe aux ports 2083 et 2087 (cPanel) ainsi qu'aux ports 2087, 2083, 2095, et 2096 (WHM) au niveau de votre pare-feu. Vous pouvez aussi arrêter les services cpsrvd et cpdavd.
Ce que j'en retiens
Cette cPanel faille critique est un rappel brutal que même les outils de gestion les plus établis peuvent présenter des vulnérabilités exploitées activement. Le contournement d'authentification est l'une des portes d'entrée les plus redoutées par les équipes de sécurité. Le déploiement du ransomware "Sorry" et le détournement de serveurs compromis illustrent la chaîne d'attaques qui peut suivre une telle brèche. Pour vous, administrateur système ou responsable IT, l'action immédiate est le patching. Ne sous-estimez pas le risque : une cPanel vulnerability exploitée peut avoir des conséquences désastreuses sur votre infrastructure et la confiance de vos clients. Restez vigilant, automatisez vos mises à jour lorsque c'est possible, et ne négligez jamais la sécurité de vos panneaux de contrôle.