cPanel認証突破、4万4000台でSorry暗号化進行中
cPanelの認証を素通りで突破できる致命的な穴が、約2か月間ゼロデイとして使われていた。パッチ公開から数日、すでに4万4000台のサーバが侵害され、Linux向けの新種ランサムウェアでファイルが暗号化されている。復号は事実上不可能だ。
致命傷は「ログインしなくてもroot」
問題の脆弱性はCVE-2026-41940として識別され、CVSSスコアは9.8。10点満点中の最高峰に近い。cPanelとWHMの11.40より後の全バージョンに影響し、認証フローの欠陥によって認証されていないリモート攻撃者が制御パネルにアクセスできるというものだ。
cPanelとは、共有ホスティング契約者が自分のサイトを管理するためのウェブダッシュボード。WHM(WebHost Manager)はその上位にあり、ホスティング事業者がサーバ全体を管理するための管理画面だ。今回の穴は、両方の入り口を素通りで突破できる。
技術的にはCRLFインジェクションと呼ばれる手法が使われている。攻撃者が認証前のセッションファイルに細工した行を注入すると、cpsrvdがそれを再解析する際に、user=root、hasroot=1、tfa_verified=1といったエントリがトップレベルのセッション情報として登録される。結果として、パスワードも2要素認証も一切経由せずに、root権限の正規セッションが偽造される。
ログインフォームを叩く必要すらない。数発のHTTPリクエストで管理者権限を奪取できる。
2月から始まっていた攻撃、4月末まで誰も気づかず
時系列が異常だ。攻撃者はwatchTowrの研究者が技術詳細を公開するのを待つ必要すらなく、2月23日からCVE-2026-41940を悪用していた。それ以前から悪用されていた可能性も高い。cPanelが緊急アップデートを公開したのは4月28日。約2か月の無防備期間だ。
しかも開示プロセスにも疑問が残る。報道によれば、この脆弱性は4月28日の公式アドバイザリの約2週間前にcPanelに報告されていたが、cPanelの最初の反応は「何も問題ない」というものだったとされる。報告者が実環境での悪用に気づいていたかは不明だが、いずれにせよ重大な情報共有の遅れがあった可能性は否定しがたい。報告から2週間、初動の判断ミスがあったとすれば、そのあいだに攻撃者は侵害範囲を広げる時間を得たことになる。
|
2月23日
攻撃の最初の痕跡
KnownHostがゼロデイ悪用を観測。約2か月の無防備期間が始まる
4月14日
頃
脆弱性が報告される
cPanelに脆弱性が伝えられたが、初動は「問題ない」との反応だったとされる
4月28日
公式アドバイザリ公開
cPanelが緊急アドバイザリとパッチを同日リリース
4月29日
CVE発番、PoC公開
CVE-2026-41940として識別され、watchTowr LabsがPoCを公開
4月30日
侵害4万4000台、CISA動く
Shadowserverが侵害観測、CISAがKEVカタログに追加
5月1日
攻撃ツールがGitHubに
cPanelSniperと呼ばれるPython実装の悪用ツールが公開される
5月3日
FCEB機関のパッチ適用期限(本日)
米連邦民間行政府機関に課された強制適用の期限
|
パッチ後も状況は悪化している。Shadowserverによれば、4月30日時点ですでに4万4000のIPがcPanel/WHM CVE-2026-41940を悪用したスキャンや攻撃に関与している。これらのアドレスは「侵害された」と推定されており、いまや別の脆弱なcPanelインスタンスを次々と狩る側に回っている。
「Sorry」と名乗るランサムウェアが大量展開中
侵害されたサーバの一部では、Linux特化型ランサムウェアによるファイル暗号化が進行している。BleepingComputerが入手した情報源によると、攻撃者は木曜日からcPanelの脆弱性を悪用し、Go言語で書かれたLinux向け暗号化ツールを展開している。
このランサムウェアは「Sorry(ソーリー)」と呼ばれる。暗号化したファイルには「.sorry」拡張子が付き、各フォルダに「README.md」という身代金要求メモが配置される。
暗号化の方式は二段構えだ。ファイル本体はChaCha20というストリーム暗号で暗号化され、その鍵は組み込みのRSA-2048公開鍵で保護される。ランサムウェア専門家のRivitnaによれば、これらのファイルを復号する唯一の方法は対応するRSA-2048秘密鍵を入手することであり、それなしでは復号は不可能だという。
要するに、攻撃者の秘密鍵を奪わない限り、データは戻ってこない。
身代金要求メモには、Toxと呼ばれるP2P型暗号化メッセンジャーへの誘導が記されている。
qToxをダウンロードせよ(https://github.com/qTox/qTox/blob/master/README.md)。連絡が取れない場合は、データ復旧業者に依頼してこちら側に連絡してもらってもよい(taobao.com推奨)。我々のTox IDを追加し、暗号化されたファイルと「Sorry-ID」を送れば、復号テストに応じる。連絡はqToxツール経由で行うこと。
身代金交渉はTox経由で行われる。Toxは中央サーバを介さない設計のため、捜査機関による通信の傍受や交渉ルートの遮断が難しい。連絡が取れない場合に備え、データ復旧業者経由の中継すら案内される。
注目すべき細部がある。全被害者で同一のTox IDが使われている。3D7889AEC00F2325E1A3FBC0ACA4E521670497F11E47FDE13EADE8FED3144B5EB56D6B198724という長大な識別子だ。被害者ごとに専用の連絡先を用意せず、同一窓口で大量の被害者を捌く構造になっている。
なお、2018年にも同じ.sorry拡張子を使うランサムウェアキャンペーンが存在したが、当時のものはHiddenTearベースの暗号化エンジンを使っており、現在のキャンペーンとは別系統だとBleepingComputerは整理している。
露出している管理画面の山、約150万台
足元の被害規模も衝撃的だが、潜在的な攻撃面はさらに大きい。
Shadowserverは、4万4000という数字が、ハッカーによって侵害され、現在は他の脆弱なcPanelインスタンスへのスキャン、悪用試行、ブルートフォース攻撃に関与している固有IPアドレスを反映していると報告している。一方で、侵害された4万4000台に加え、Shadowserverはより広範な機器スキャンで約65万台のインターネット露出cPanel/WHMインスタンスを観測しており、攻撃面の広大さを示している。
Rapid7の調査ではさらに広い数字が出ている。Shodanは約150万台のcPanelインスタンスをインターネット上で確認しているが、そのうち何台が脆弱なバージョンかは不明とのことだ。
| バージョン系列 | 脆弱バージョン | パッチ適用版 |
|---|---|---|
| 110.0.x | 11.110.0.96 | 11.110.0.97 |
| 118.0.x | 11.118.0.61 | 11.118.0.63 |
| 126.0.x | 11.126.0.53 | 11.126.0.54 |
| 132.0.x | 11.132.0.27 | 11.132.0.29 |
| 134.0.x | 11.134.0.19 | 11.134.0.20 |
| 136.0.x | 11.136.0.4 | 11.136.0.5 |
| WP Squared | 136.1.7未満 | 136.1.7 |
cPanelはコントロールパネル市場で約94%のシェアを持つとされる(W3Techs調べ)。共有ホスティングを支える基盤そのものが、約2か月間にわたって認証なしで占領される可能性に晒されていた。そう書くと、状況の重さがやっと見えてくる。
|
約150万台
インターネット露出のcPanelインスタンス
Shodan調査・潜在的脆弱母集団
約65万台
Shadowserver直接観測の露出数
honeypot基盤で直接到達確認
4万4000台
侵害確認済み
スキャン・悪用に加担する側へ
|
CISAが緊急パッチ命令、しかし期限は本日
事態を受け、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は迅速に動いた。CVE-2026-41940をKnown Exploited Vulnerabilities(KEV)カタログに追加し、連邦民間行政府機関(FCEB)に5月3日までのパッチ適用を義務づけた。本日の話だ。
cPanelが提供する修正版は以下のとおり。
- cPanel & WHM 110.0.x → 11.110.0.97(修正前は11.110.0.96)
- cPanel & WHM 118.0.x → 11.118.0.63
- cPanel & WHM 126.0.x → 11.126.0.54
- cPanel & WHM 132.0.x → 11.132.0.29
- cPanel & WHM 134.0.x → 11.134.0.20
- cPanel & WHM 136.0.x → 11.136.0.5
- WP Squared → 136.1.7
直ちにパッチを適用できない場合、cPanelはファイアウォールでポート2083、2087、2095、2096の受信トラフィックを遮断するか、cpsrvdおよびcpdavdサービスを停止する暫定策を案内している。Namecheap、KnownHost、HostPapa、InMotion Hostingといった主要事業者は、パッチ展開に先立って2083/2087番ポートの遮断に踏み切った。
「パッチを当てた」では足りない理由
ここが最も重要な論点になる。パッチ適用は最低条件であって、終着点ではない。
公開されたパッチが当てられても、すでに侵入を許したサーバの内部は別問題だ。攻撃者は管理者権限を奪った瞬間に、バックドアアカウントやSSH公開鍵、cronジョブを仕込んで永続化を図る。これらはcpsrvdへのパッチでは消えない。
SSHキーの永続化、アカウント改変などはcPanelのパッチが当たっても残る。cpsrvdにパッチを当ててもSSHキーは消えず、cPanelが動いていようがいまいが、そのキーは生き続ける。
つまり、2月23日以降のどこかで侵入された可能性のあるサーバは、パッチを当てても安全とは言えない。/var/cpanel/sessions/下の不審なセッションファイル、WHM上の見覚えのないアカウント、SSH公開鍵の追加、cron設定の改変。これらをすべて棚卸しする必要がある。報告から2週間沈黙し、開示時にはすでに2か月の侵入活動が進んでいた。パッチを当てた瞬間に時間が巻き戻るわけではない。インシデント対応として扱うべき性質のものだ。
cPanelは侵害指標(IoC)を検出するスクリプトを公開している。スクリプトは/var/cpanel/sessions内のセッションファイルをスキャンし、token_deniedとcp_security_tokenの同居、認証前セッションに認証済み属性が含まれるケース、tfa_verifiedフラグの不正な状態、複数行のパスワード値といった侵害の痕跡を探す。
共有ホスティングという構造のもろさ
最後に立ち止まって考えたい。今回の事件が示しているのは、cPanelという特定製品の問題というよりも、集約されたリスクの構造だ。
WHMが侵害されれば、そのサーバ上の全アカウントが侵害される。1台のWHMサーバで数十から数百のサイトを抱えるのは普通のことだ。攻撃者は1つの脆弱性で、ドミノ倒しのように何百ものウェブサイトを掌握できる。1つの認証バイパスが、現実には数万台のサーバの根本を一斉に揺さぶった。
Shadowserverの数字は始まりに過ぎない可能性がある。攻撃自動化ツール「cPanelSniper」が公開され、Pythonの標準ライブラリだけで動くようになった今、悪用のハードルは下がる一方だ。
自分が利用しているレンタルサーバがcPanelベースなら、まず契約先のホスティング事業者に状況を確認したほうがいい。事業者側でパッチ適用が完了していても、自分のアカウントが2月以降に侵害されていないかは別問題だ。WordPressサイトを運用しているなら、管理画面のパスワード変更、不審な投稿の有無の確認、新規追加された管理者アカウントの確認も合わせて行いたい。
約2か月間、認証なしで開いていたドアの先で、誰が何をしたか。それを追いかける作業が、これから本格化する。
参照元
他参照
