En bref

  • CVE-2026-41940, une faille critique CVSS 9.8 dans cPanel & WHM permettant un accès administrateur sans authentification, est massivement exploitée avec plus de 44 000 serveurs compromis en mai 2026.
  • Le ransomware "Sorry" — conçu spécifiquement pour Linux — a chiffré les fichiers de milliers de serveurs d'hébergement, d'entités gouvernementales et de MSP en Asie du Sud-Est, au Canada et aux États-Unis.
  • Les administrateurs cPanel doivent mettre à jour vers la version corrigée immédiatement et vérifier si leurs serveurs ont été exposés depuis fin février 2026, date des premières exploitations zero-day documentées.

Quarante-quatre mille serveurs compromis par une faille pré-authentification

La communauté de l'hébergement web fait face depuis début mai 2026 à l'une des crises de sécurité les plus massives de son histoire récente. CVE-2026-41940, une vulnérabilité de contournement d'authentification affectant toutes les versions de cPanel & WHM antérieures au correctif d'avril 2026, est activement exploitée à grande échelle. Au moins 44 000 serveurs ont été compromis selon les données collectées par Censys, qui détecte des répertoires ouverts listant des fichiers chiffrés portant l'extension ".sorry".

La faille réside dans le mécanisme de validation des sessions du panel d'administration WHM de cPanel. Un attaquant non authentifié peut envoyer une requête HTTP spécialement forgée qui exploite une erreur dans la logique de vérification des tokens de session, lui permettant d'obtenir un accès administrateur complet au serveur — et donc à l'ensemble des sites hébergés, bases de données, configurations DNS, et credentials stockés. Le score CVSS 9.8 reflète l'absence de toute précondition requise : pas d'accès préalable, pas de compte, pas d'interaction utilisateur nécessaire pour exploiter la faille.

Ce qui aggrave considérablement la situation, c'est la chronologie de l'exploitation. Les premières tentatives d'exploitation documentées par les chercheurs de Copahost et de Censys datent de fin février 2026 — soit environ deux mois avant la publication du CVE le 29 avril 2026 par cPanel. Les attaquants ont donc disposé d'une fenêtre zero-day de soixante jours pendant laquelle aucun patch n'était disponible et aucune alerte officielle n'avait été émise. Pendant cette période, des milliers de serveurs ont pu être compromis silencieusement, servant de plateformes de rebond pour des opérations offensives plus larges.

Le ransomware Sorry est la charge utile la plus visible de cette campagne, mais il n'est pas le seul outil utilisé. Les chercheurs de The Hacker News ont identifié au moins deux profils d'attaquants distincts exploitant CVE-2026-41940. Le premier est opportuniste et massif : des déploiements automatisés de Sorry ransomware et de variantes Mirai (botnet DDoS) sur des milliers de serveurs en quelques heures après la publication publique de la faille. Le second est ciblé et furtif : un acteur de menace présumé étatique vise spécifiquement des entités gouvernementales et militaires en Asie du Sud-Est, ainsi que des MSP et hébergeurs aux Philippines, au Laos, au Canada, en Afrique du Sud et aux États-Unis.

Sorry est un ransomware Linux modulaire de nouvelle génération. Contrairement à ses prédécesseurs qui chiffraient l'ensemble du système de fichiers de manière indiscriminée — provoquant souvent des crashs du serveur avant la fin du chiffrement — Sorry implémente une logique de ciblage sélectif. Il priorise les répertoires web (public_html, www), les bases de données MySQL, les sauvegardes et les archives, et évite délibérément les binaires système pour maintenir le serveur opérationnel. Cette stratégie maximise l'impact visible pour la victime tout en permettant à l'attaquant de conserver un accès persistant post-chiffrement. Chaque fichier chiffré voit l'extension ".sorry" ajoutée à son nom.

La note de rançon déposée sur les serveurs compromis réclame entre 0,05 et 0,15 Bitcoin par serveur, avec une adresse de contact sur le réseau Tor. Les opérateurs de Sorry semblent disposer d'une infrastructure de négociation automatisée, plusieurs victimes ayant rapporté avoir reçu des réponses en moins d'une heure après contact initial. Aucun groupe de ransomware établi n'a revendiqué publiquement l'opération Sorry à ce jour, ce qui suggère soit un nouveau groupe émergent, soit une opération conduite délibérément sous fausse bannière pour complexifier l'attribution forensique.

La semaine du 5 au 11 mai 2026 a été surnommée la "Black Week" de cPanel par les chercheurs de Panelica : trois nouvelles vulnérabilités critiques ont été divulguées et corrigées en urgence dans le même logiciel, dont CVE-2026-41940 et CVE-2026-48172 (plugin LiteSpeed Cache permettant l'exécution de scripts avec les droits root). Cette accumulation de failles graves dans un logiciel qui gère l'infrastructure de dizaines de millions de sites web soulève des questions fondamentales sur la maturité du processus de développement sécurisé chez cPanel Inc., et sur la robustesse du programme de bug bounty du vendeur.

D'après les données de Cybelangel, au moins 7 000 des serveurs compromis exposaient publiquement leurs répertoires de fichiers chiffrés au moment de leur détection, rendant immédiatement visible l'étendue des dommages. La CISA a recommandé dès le 4 mai 2026 aux organisations d'identifier les serveurs cPanel exposés à internet et de procéder à leur mise à jour en priorité absolue. Les hébergeurs utilisant des versions antérieures au correctif doivent également scanner leurs serveurs avec les indicateurs de compromission publiés pour détecter une éventuelle intrusion antérieure à l'application du patch.

L'hébergement partagé, maillon faible de la chaîne de confiance web

La campagne autour de CVE-2026-41940 illustre un problème structurel de l'écosystème d'hébergement web : la concentration extrême des risques dans quelques logiciels de gestion de panels. cPanel & WHM équipent une proportion massive des hébergeurs mutualisés mondiaux — des estimations parlent de plus de 70 millions de domaines gérés via cPanel dans le monde. Une seule faille critique dans ce composant crée instantanément une surface d'attaque de plusieurs dizaines de milliers de serveurs, chacun hébergeant potentiellement des centaines de sites et des millions d'utilisateurs finaux.

Ce modèle de concentration n'est pas nouveau — Plesk et DirectAdmin partagent le même profil de risque systémique — mais la sophistication croissante des acteurs malveillants et la vitesse d'exploitation ont atteint un niveau qui rend la fenêtre de patch pratiquement impossible à tenir pour de nombreux hébergeurs. Lorsqu'une faille critique est exploitée en zero-day pendant soixante jours avant même d'être connue publiquement, la notion de mise à jour préventive perd tout sens pratique pour les organisations ciblées.

L'implication probable d'un acteur étatique dans les attaques ciblées contre les gouvernements d'Asie du Sud-Est ajoute une dimension géopolitique à cette crise technique. L'exploitation de vulnérabilités d'hébergement web pour accéder à des systèmes gouvernementaux — via des sites officiels ou des portails administratifs hébergés chez des prestataires tiers — représente un vecteur d'intrusion initiale de plus en plus documenté chez les groupes APT. Ces serveurs d'hébergement sont souvent dans des angles morts des programmes de détection des organisations cibles, moins surveillés que les endpoints ou les accès VPN d'entreprise.

Pour les RSSI et les responsables d'infrastructure, la leçon est claire : les panels d'administration web doivent être intégrés dans les programmes de vulnerability management au même titre que les systèmes Windows Server ou les équipements réseau. Les audits de surface d'attaque externe doivent impérativement inclure les ports de gestion cPanel (2082, 2083, 2086, 2087) et ces ports doivent être rendus inaccessibles depuis internet via des règles de firewall ou des accès VPN d'administration dédiés. La migration vers des architectures d'hébergement containerisées avec une surface d'administration minimale représente l'orientation long terme recommandée par les experts.

Ce qu'il faut retenir

  • CVE-2026-41940 (CVSS 9.8) dans cPanel/WHM permettait un accès admin non authentifié — exploitée en zero-day depuis fin février 2026, soit deux mois avant le patch d'avril, touchant 44 000 serveurs.
  • Le ransomware Linux Sorry a chiffré des milliers de serveurs d'hébergement, et un acteur étatique présumé a parallèlement ciblé des entités gouvernementales en Asie du Sud-Est via ce même vecteur.
  • Actions immédiates : mettre à jour cPanel vers la dernière version corrigée, restreindre l'accès aux ports WHM (2086/2087) à des IP de confiance uniquement, et scanner les serveurs avec les indicateurs de compromission publiés par Censys et Cybelangel.

Comment détecter si mon serveur cPanel a été compromis avant l'application du patch ?

Plusieurs indicateurs permettent de détecter une compromission : la présence de fichiers avec l'extension ".sorry" dans les répertoires web (public_html, www), des entrées de log WHM anormales montrant des codes HTTP 200 sur des endpoints d'authentification sans credentials valides, la présence de tâches cron inconnues ou de fichiers binaires modifiés, et des connexions sortantes vers des adresses IP du réseau Tor. Les outils de détection publiés par Censys et Cybelangel permettent également une vérification automatisée de l'exposition. En cas de compromission confirmée, une réinstallation complète du serveur est recommandée plutôt qu'une tentative de nettoyage manuel — les rootkits persistants sont fréquents dans ce type de campagne et survivent aux nettoyages partiels.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact