Vulnérabilité cPanel CVE-2026-41940 : comment le ransomware “Sorry” exploite massivement les serveurs web et comment s’en protéger

Hippolyte Valdegré

44 000 sites compromis : la faille cPanel qui met à mal les hébergeurs français

En 2026, une vulnérabilité cPanel d’une gravité critique a été découverte et immédiatement massivement exploitée par le ransomware Sorry. Selon le centre de veille Shadowserver, plus de 44 000 adresses IP hébergeant cPanel ont été compromises depuis février 2026, ce qui représente une hausse de 12 % en un mois. Vous gérez des serveurs Linux, WHM ou cPanel ? Cet article détaille le mécanisme de l’attaque, les conséquences chiffrées et, surtout, les mesures concrètes à mettre en place dès aujourd’hui pour protéger vos sites et vos données.

Comprendre la vulnérabilité cPanel CVE-2026-41940

Mécanisme d’authentification compromise

Le point faible, identifié sous la référence CVE-2026-41940, concerne un contournement d’authentification au niveau du module mod_auth de cPanel. En pratique, l’attaquant fournit un jeton d’authentification falsifié qui bypass le contrôle d’accès, lui permettant d’accéder aux panneaux de gestion WHM et cPanel sans jamais fournir de mot de passe valide. Le problème réside dans la validation insuffisante du nonce utilisé dans la requête HTTP.

“Le contournement d’authentification exploite une logique de validation erronée du challenge-response, ce qui rend possible l’accès complet à la console d’administration même en l’absence d’identifiants” - ANSSI, 2026.

Vecteurs d’exploitation

Les cybercriminels ont rapidement mis en place un exploit zero-day alimenté par l’IA qui se propage via des scanners automatiques à la recherche de serveurs exposés sous le port 2087 (WHM) ou 2083 (cPanel). Une fois le serveur identifié, le script envoie un payload Go qui active la porte dérobée. Les caractéristiques suivantes ont été observées :

  1. Détection via requêtes HEAD non authentifiées.
  2. Injection d’un jeton signé avec une clé publique compromise.
  3. Activation d’un module de chiffrement Linux via le processus init.

Ces étapes permettent aux assaillants de déployer immédiatement le ransomware Sorry sans interaction supplémentaire avec la victime.

L’impact du ransomware “Sorry” sur les serveurs Linux

Chiffrement ChaCha20 et clé RSA-2048

Le malware « Sorry » utilise le cipher ChaCha20 - réputé pour sa rapidité et sa résistance aux attaques de cryptanalyse - afin de chiffrer chaque fichier présent sur le serveur. La clé de session est ensuite elle-même protégée par une clé RSA-2048 publique intégrée dans le binaire. Sans la clé privée correspondante, le déchiffrement est impossible, comme le confirme l’expert Rivitna :

“La récupération des données est impossible sans la clé RSA-2048 privée détenue par les auteurs du ransomware” - Rivitna, 2026.

Chaque fichier chiffré reçoit l’extension .sorry, facilitant ainsi l’identification de l’éventuel dommage collatéral.

Signes de compromission et premières réponses

Les administrateurs peuvent remarquer plusieurs indicateurs :

  • Création soudaine de fichiers README.md contenant des instructions de rançon et un identifiant Tox (ex. 3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724).
  • Arrêt inhabituel des services web (Apache, Nginx) suivi d’une augmentation du trafic sortant vers des adresses Tox.
  • Détection d’un processus sorry-encryptor dans ps aux avec une consommation CPU élevée.

Un audit rapide avec VirusTotal a confirmé que le binaire détecté provenait d’une variante Go du ransomware Sorry, différente de la campagne HiddenTear de 2018 qui utilisait également l’extension .sorry.

Réponse et mesures d’atténuation

Mise à jour d’urgence WHM/cPanel

Le fournisseur a publié le patch d’urgence le 2 mai 2026. La procédure recommandée est la suivante :

# Connectez-vous en SSH avec un compte root
ssh root@votre-serveur
# Ajoutez le dépôt officiel cPanel (si absent)
wget -O /etc/yum.repos.d/cpanel.repo https://repo.cpanel.net/cpanel.repo
# Rafraîchissez les métadonnées et appliquez le correctif
yum clean all && yum update cpanel-whm -y
# Redémarrez les services pour appliquer les correctifs
/scripts/restartsrv_cpanel && /scripts/restartsrv_whm

Attention : le redémarrage des services provoquera une interruption temporaire de vos sites. Prévenez vos clients et planifiez la mise à jour pendant une fenêtre de maintenance.

Bonnes pratiques de sécurisation post-patch

  • Activer l’authentification à deux facteurs (2FA) sur toutes les consoles WHM/cPanel, en utilisant un gestionnaire de mots de passe comme 1Password pour prévenir le phishing alimenté par IA.
  • Limiter l’accès au port 2087/2083 par adresse IP autorisée via le pare-feu iptables ou firewalld.
  • Surveiller les logs d’accès (/var/log/apache2/access_log) à la recherche de requêtes suspectes contenant le paramètre auth_token.
  • Mettre en place une solution de détection d’intrusion (IDS) telle que Suricata avec les signatures CVE-2026-41940.
  • Sauvegarder quotidiennement les bases de données et les répertoires /home/* sur un stockage hors-ligne chiffré.

Mise en œuvre - étapes actionnables

  1. Inventorier vos serveurs : utilisez whmapi1 list_servers pour recenser toutes les instances cPanel/WHM.
  2. Appliquer le patch décrit ci-dessus sur chaque serveur dans les 24 heures.
  3. Vérifier la version corrigée : rpm -qa | grep cpanel doit afficher cpanel-whm-2026.10.01 ou supérieure.
  4. Configurer le 2FA via le portail WHM → Home → Security Center → Two-Factor Authentication.
  5. Déployer une règle IDS :
    alert tcp $EXTERNAL_NET any -> $HOME_NET 2087 (msg:"CVE-2026-41940 exploit attempt"; sid:2026001; rev:1;)
  6. Auditer les fichiers récemment créés : find /home -name "README.md" -mtime -7.
  7. Informer les équipes de réponse incident (SOC) et préparer un plan de communication client.

Tableau comparatif : avant vs après le patch

AspectAvant le patchAprès le patch
Accès WHM/cPanelContournement d’authentification possibleAuthentification renforcée, jetons invalidés
Surface d’attaquePort 2087 exposé sans filtrageFiltrage IP recommandé et 2FA obligatoire
Chiffrement des fichiersRisque de rançon avec ChaCha20 + RSA-2048Aucun vecteur d’injection, chiffrement interrompu
Détection IDSSignatures inexistantesRègle CVE-2026-41940 active dans Suricata/Zeek
Temps moyen de récupération> 72 h (décryptage impossible)< 24 h (restore à partir de sauvegarde)

Conclusion - protégez votre infrastructure dès maintenant

La vulnérabilité cPanel CVE-2026-41940 constitue une porte d’entrée critique pour le ransomware Sorry. En 2026, plus de 44 000 IP ont déjà été compromises, démontrant la vitesse de propagation d’une attaque zero-day. Grâce à la mise à jour d’urgence de WHM/cPanel, à la mise en place du 2FA et à une surveillance proactive, vous pouvez réduire de façon décisive le risque d’encryptage de vos données.

Prochaine action : planifiez dès aujourd’hui la mise à jour de tous vos serveurs, activez l’authentification à deux facteurs et intégrez la règle IDS ci-dessus. En combinant ces mesures avec des sauvegardes chiffrées hors-ligne et une surveillance de l’exfiltration de données via ChatGPT, vous vous assurez une résilience maximale face aux futures campagnes de ransomware.

“La meilleure défense contre un ransomware reste une mise à jour rapide et une stratégie de sauvegarde robuste” - ANSSI, 2026.

N’attendez pas que votre site figure parmi les 44 000 victimes ; agissez dès maintenant pour sécuriser vos environnements d’hébergement web.