El ransomware «Sorry» acecha: explota el bypass crítico CVE-2026-41940 en cPanel

Hemos visto cómo la comunidad de hosting está sufriendo una oleada intensa de ataques automatizados contra sus servidores. El protagonista de esta historia es el CVE-2026-41940, un bypass de autenticación en cPanel y WHM que lleva activo desde finales de febrero. Básicamente, nos permite entrar al panel sin poner usuario ni clave. Lo curioso del truco técnico es que aprovecha una inyección CRLF en las cabeceras de sesión. Si manipulamos la cookie sessionid quitándole el segmento .php, el sistema trata la contraseña de forma distinta. Esto hace que los saltos de línea no se filtren bien y terminen escribiendo atributos raros en el fichero de sesión en disco. Al final, forzamos al sistema a leer ese archivo raw y reescribir la caché serializada, logrando que nuestras claves maliciosas sean válidas para iniciar sesión como root.Una vez dentro, la cosa se pone seria. Los atacantes despliegan rápidamente el ransomware «Sorry», escrito en Python. No os confundáis con el de 2018; este es nuevo y usa cifrado AES-256-CBC protegido por RSA-2048. Los archivos pierden su nombre original y ganan la extensión .sorry, dejando una nota README.md en cada carpeta. La telemetría indica que ya hay unas 40.000 direcciones IP detectadas con actividad sospechosa o comprometida. Estados Unidos lidera la lista de afectados. Aunque cPanel lanzó un parche urgente el 30 de abril de 2026, muchos sistemas siguen vulnerables porque la explotación masiva comenzó antes. Os recomendamos tratar cualquier servidor expuesto como si ya estuviera infectado hasta que verifiquéis manualmente sus sesiones.