Empfohlen, 2019

Tipp Der Redaktion

Parallels untersucht Claims of Plesk Vulnerability nach Welle von Website Hacks

Parallels, Entwickler von Virtualisierungs- und Automatisierungssoftware, untersucht, ob Angreifer eine bisher unbekannte Sicherheitslücke in Plesk Panel nutzen, um Webhosting-Server zu kompromittieren und Websites mit Malware zu infizieren.

Plesk Panel ist eines der am häufigsten verwendeten Administrationsfelder für Webhosting-Server. Es bietet Benutzern eine grafische Web-basierte Oberfläche, die es ihnen ermöglicht, Aufgaben der Serveradministration und Websitemanagement einfach durchzuführen.

Seit Mitte Juli wurden Tausende von Websites mit bösartigem Code infiziert, der Techniken zur Generierung von Domainnamen verwendet hartnäckiger. Die Hacker, die hinter der Welle der Kompromisse stecken, verwenden eine neue Version des Exploit-Toolkits Black Hole.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Die betroffenen Websites wurden mit einer Vielzahl von Technologien erstellt HTML, PHP und ASP.NET und wurden auf verschiedenen Arten von Webservern gehostet, einschließlich Microsoft IIS, Apache und Litespeed, sagte der unabhängige Sicherheitsforscher Denis Sinegubko in einem Blogbeitrag am 22. Juni. Das einzige gemeinsame Element unter ihnen ist, dass sie alle sind gehostet auf Servern, die Plesk als Management-Panel verwenden.

"Es ist ein sehr massiver Angriff und es ist auf Plesk-Server beschränkt", sagte Sinegubko Freitag per E-Mail. "Es hat definitiv mit einigen Plesk-Sicherheitsproblemen zu tun."

Die Angriffe dauern an und Berichte von Webhosting-Server-Administratoren, deren Systeme betroffen waren, häuften sich in den Support-Foren von Parallels.

Das Unternehmen glaubt, dass das neue Kompromisse sind mit einer Reihe früherer Angriffe verbunden, die eine jetzt gepatchte SQL-Injection-Schwachstelle ausnutzten, um Plesk-Administrator- und Kundenkennwörter zu stehlen.

"Ich nehme an, Hacker haben Plesk-Datenbanken gegriffen und ihre gewalttätige Aktivität vor 2 bis 2,5 Monaten eingestellt Um die Wachsamkeit der Plesk-Besitzer zu beruhigen ", sagte ein Mitglied des Parallels-Teams im Support-Forum des Unternehmens. "Jetzt beobachten wir eine neue Runde des Exploits, der auf den gegriffenen Plesk-Datenbanken basiert."

Einige der betroffenen Benutzer glauben jedoch, dass eine neue Sicherheitslücke dafür verantwortlich ist, dass ihre Server gehackt werden, da die neuen Angriffe nach dem Patching auftraten Die alte Sicherheitslücke und das Zurücksetzen aller Plesk-Passwörter.

Außerdem wird gemunkelt, dass Cyberkriminelle eine bisher unbekannte Sicherheitslücke für Plesk Panel Version 10.4 und früher in Untergrundforen verkaufen.

"Wir untersuchen derzeit diese neu gemeldete Sicherheitslücke auf Plesk 10.4 und früher ", sagte das Unternehmen am Donnerstag in einer Sicherheitsempfehlung. "Derzeit sind die Ansprüche unbegründet und wir können diese Sicherheitsanfälligkeit nicht bestätigen und können nicht bestätigen, dass diese Sicherheitsanfälligkeit auf ein bestimmtes Betriebssystem beschränkt ist."

Es gibt verschiedene Möglichkeiten, wie die ältere, jetzt gepatchte Sicherheitsanfälligkeit auftreten kann führte zu den jüngsten Angriffen, sagte das Unternehmen. Entweder haben einige Kunden den Patch zu diesem Zeitpunkt nicht installiert, oder sie haben es getan, aber sie haben nicht alle Passwörter zurückgesetzt oder beides getan, aber einige der Benutzer haben ihr altes, möglicherweise gestohlenes Passwort wieder hergestellt.

Das Unternehmen empfahl den Kunden außerdem, nach dem Patchen und Ändern aller Passwörter die aktiven Sitzungsdatensätze aus der Plesk-Datenbank zu löschen.

Plesk 11, das im Juni veröffentlicht wurde, ist nicht anfällig für die ältere SQL-Injection-Schwachstelle und speichert keine Passwörter im Klartext wie frühere Versionen. Das bedeutet, dass Angreifer selbst dann, wenn eine neue Sicherheitslücke besteht, nicht in der Lage sein würden, Kundenkennwörter aus Plesk 11-Datenbanken zu stehlen.

Allerdings verwenden viele Leute immer noch Plesk 10, Plesk 9 oder sogar Plesk 8 Das Upgrade ist kein einfacher Prozess und kann die Kompatibilität mit anderer Software beeinträchtigen, die auf ihren Servern ausgeführt wird.

Es scheint, dass eine der zuverlässigsten Methoden, die aktuellen Angriffe zu stoppen, darin besteht, den Zugriff auf den Plesk-Dateimanager zu entfernen, den die Angreifer verwenden, um den bösartigen Code einzufügen, sagte Sinegubko. "Dieser Ansatz schließt jedoch nicht die Sicherheitslücke, sondern entfernt lediglich eine der Angriffs-Abhängigkeiten. Angreifer können immer noch eine andere Möglichkeit finden, ihre Passwörter zu verwenden."

Der Grund, warum die Angreifer einige Monate gewartet haben könnten bevor sie begannen, die Passwörter zu missbrauchen, die sie während der früheren Angriffe gestohlen hatten, weil sie herausfinden mussten, wie sie ihre bevorstehenden Angriffe automatisieren und testen konnten, dass alles richtig funktionierte, sagte Sinegubko.

Top