**Explotación masiva de la vulnerabilidad CVE-2024-41940 en cPanel: sitios web comprometidos y ataques de ransomware “Sorry”**
—
### 1. Introducción
En las últimas semanas, la comunidad de ciberseguridad ha presenciado una ola de ataques dirigidos contra servidores web que emplean cPanel, uno de los paneles de control de hosting más populares del mercado. La reciente vulnerabilidad identificada como CVE-2024-41940 está siendo explotada activamente en campañas de ransomware, concretamente asociadas con la variante denominada “Sorry”. El vector de ataque permite a los actores maliciosos comprometer la integridad de los sitios web, cifrar datos y exigir rescates, generando un elevado impacto tanto en empresas como en proveedores de servicios de hosting.
—
### 2. Contexto del Incidente o Vulnerabilidad
cPanel es una solución ampliamente utilizada para la gestión de servidores Linux, con más de 1,5 millones de instalaciones activas en todo el mundo. Este entorno es crítico para la operativa de miles de empresas, agencias digitales y prestadores de servicios de alojamiento. El fallo de seguridad CVE-2024-41940 fue divulgado públicamente a principios de junio de 2024, y afecta a versiones de cPanel anteriores a la 120.0.9, 118.0.13, 116.0.18 y 110.0.46.
La vulnerabilidad reside en la interfaz Webmail de cPanel, concretamente en el proceso de gestión de archivos adjuntos y recursos, permitiendo la ejecución remota de código (RCE) sin autenticación previa. Al poco tiempo de su publicación, investigadores detectaron su explotación a gran escala, principalmente para la distribución de ransomware y la implantación de webshells persistentes.
—
### 3. Detalles Técnicos
**Identificador CVE**: CVE-2024-41940
**Vector de ataque**: Ejecución remota de código a través de la interfaz Webmail
**TTPs (MITRE ATT&CK)**:
– T1190 (Exploit Public-Facing Application)
– T1059.001 (Command and Scripting Interpreter: PowerShell)
– T1566 (Phishing para el despliegue inicial)
**Exploit y herramientas utilizadas**:
El exploit permite a los atacantes enviar peticiones HTTP especialmente diseñadas a la interfaz de Webmail, que manipulan la gestión de archivos adjuntos y recursos para lograr la ejecución de comandos arbitrarios con privilegios del usuario del servicio web. En esta campaña se ha observado el uso de frameworks como Metasploit para la automatización del ataque, así como la instalación de webshells y la descarga de cargas útiles del ransomware “Sorry”.
**Indicadores de Compromiso (IoC)**:
– Webshells persistentes en rutas como `/usr/local/cpanel/base/webmail/`
– Archivos cifrados con extensión `.sorry`
– Presencia de procesos sospechosos ejecutados por el usuario `cpanel`
– Comunicaciones salientes hacia dominios y direcciones IP asociados a campañas previas de ransomware
—
### 4. Impacto y Riesgos
Según estimaciones de varios CERTs nacionales y plataformas de inteligencia de amenazas, más de 12.000 instancias de cPanel han sido potencialmente comprometidas en las primeras semanas tras la divulgación de la vulnerabilidad. Las consecuencias inmediatas incluyen:
– Cifrado total o parcial de sitios web corporativos y portales de clientes
– Robo y exfiltración de bases de datos sensibles (usuarios, contraseñas, información de pago)
– Pérdida de reputación y confianza para proveedores de hosting
– Incumplimiento de normativas como GDPR y NIS2, con riesgo de sanciones millonarias
El ransomware “Sorry” utiliza técnicas de doble extorsión, amenazando además con la publicación de los datos robados si no se produce el pago de los rescates, que oscilan entre 0,5 y 3 BTC dependiendo del tamaño del objetivo.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Actualización inmediata** de cPanel a las versiones 120.0.9, 118.0.13, 116.0.18 o 110.0.46, según la rama utilizada.
– Revisión de logs de acceso y búsqueda de patrones anómalos, especialmente en la gestión de Webmail.
– Despliegue de detección avanzada para webshells y actividades sospechosas en los directorios de cPanel.
– Implementación de backups offline y verificación de su integridad.
– Restricción de acceso a interfaces administrativas mediante VPN, listas blancas de IP o autenticación multifactor.
– Monitorización de tráfico saliente y bloqueo de conexiones a direcciones IP asociadas a IoC conocidos.
—
### 6. Opinión de Expertos
Especialistas en ciberseguridad como Marcus Hutchins y analistas de Rapid7 coinciden en que la rapidez con la que los grupos de ransomware han integrado este exploit en sus cadenas de ataque demuestra la sofisticación y agilidad del cibercrimen actual. Se destaca la importancia de aplicar parches de forma proactiva y de contar con políticas de defensa en profundidad en entornos expuestos a internet.
—
### 7. Implicaciones para Empresas y Usuarios
El incidente subraya la relevancia de la gestión de vulnerabilidades en infraestructuras críticas y la necesidad de revisiones periódicas de seguridad para evitar brechas masivas. Proveedores de hosting y departamentos de TI deben reforzar sus procesos de actualización y respuesta ante incidentes, así como concienciar a los usuarios finales sobre los riesgos derivados de la exposición de servicios como Webmail.
Por otra parte, la explotación de CVE-2024-41940 puede acarrear graves consecuencias legales bajo el GDPR y la directiva NIS2, especialmente si se produce exfiltración o pérdida de datos personales.
—
### 8. Conclusiones
La explotación activa y masiva de la vulnerabilidad CVE-2024-41940 en cPanel pone de manifiesto la urgencia de mantener actualizados todos los componentes que conforman la superficie de ataque de las organizaciones. La ola de ataques con el ransomware “Sorry” debería servir como llamada de atención para reforzar la cultura de ciberseguridad y la gestión proactiva de amenazas, tanto en proveedores de servicios como en empresas usuarias.
(Fuente: www.bleepingcomputer.com)