Een afgesloten Strato-klant tipt Webwereld, dat de klantenservice hem vertelt over een DoS-aanval. Die mededeling blijkt onjuist, of nog gebaseerd op de DDoS-aanval die Strato vorige week heeft ondergaan. Ditmaal is het echter een bewuste, eigen handeling: de hoster heeft servers met een onveilige Plesk-versie zelf geblokkeerd.

Beheerrechten kapen

Dat is geen maatregel om een mogelijk risico af te dekken, met een paardenmiddel. “Er is geprobeerd binnen te komen", geeft Strato-woordvoerster Hanneke Riedijk aan. “We hebben toen direct de boel dichtgegooid." Het beveiligingslek in beheerpaneel Plesk geeft aanvallers de mogelijkheid volledige beheerrechten te veroveren. Mogelijk is dat al gebeurd; actief misbruik is al ruim een week gaande, wereldwijd.

Strato heeft dus niet alleen de lekke beheersoftware op slot gezet, maar ook de daarmee beheerde virtuele servers - en dus ook alle sites die daarop draaien. Hierdoor zijn hostingklanten offline én afgesneden van hun eigen sites. De via een SQL-injectie te verkrijgen beheerrechten geven namelijk veel malafide mogelijkheden, zoals het aanpassen van bestanden op sites en het aanmaken van nieuwe accounts voor toegang achteraf.

Aan de klant overlaten

Een andere door Webwereld benaderde hoster pakt het minder drastisch aan. Leaseweb heeft vrijdag een mailtje gestuurd naar al zijn klanten die Plesk gebruiken. Daarin de melding dat hackers het lek in de software actief misbruiken en het advies om Plesk te updaten. De lekke servers blijven gewoon online.

“Wij doen geen managed hosting, dus wij kunnen Plesk niet uitzetten", zegt woordvoerder Alex de Joode. “Dus het is aan de klant of hij gaat upgraden." Er wordt in ieder geval actief gescand op vatbare versies van Plesk, aldus De Joode. “Meestal worden ze gebruikt voor een DDoS-campagne", zegt hij verder.

Niet verantwoordelijk

Volgens Joode is het vooral een klantenprobleem, en heeft het geen invloed op de shared omgeving. “Wij zijn niet verantwoordelijk voor het systeembeheer van de klant", zegt hij. De klanten van Leaseweb bestaan voor een groot deel uit resellers en dat zijn internetprofessionals. “Die updaten wel", zegt hij. “Dan blijft er nog een groep hobbyisten over, en die wilden we aanspreken met onze mail."

De klanten van Strato die door die hoster zijn afgesloten, zijn gisteravond geïnformeerd met een sms-bericht. Volgens woordvoerster Riedijk gaat het om tien klanten, waarbij zij niet aangeeft om hoeveel servers en sites het in totaal gaat. De helft van die klanten heeft inmiddels contact opgenomen met de abuse-afdeling van Strato en is bezig Plesk te updaten naar een nieuwere versie waarin het SQL-gat is afgedekt.

Updaten

Die veilige versie is niet eens een gloednieuwe release. Plesk-maker Parallels heeft in september al updates uitgebracht voor de 8.x-, 9.x- en 10.x-reeksen van zijn beheerpaneel. Dat meldt productmanager Blake Tyra in een forumpost van drie weken terug, volgend op een alarmmelding van de virtualisatieleverancier aan gebruikers.

De productmanager geeft in het forum antwoord op vragen over het dringende update-advies dat Parallels toen mailde aan klanten. Die mailing is gedaan via een extern bedrijf wiens domeinnaam opdook in de downloadlinks, wat gebruikers deed vermoeden dat er sprake was van phishing of malwaredistributie. Installatie en verspreiding van malware blijkt toch aan de orde, maar dan als de lekke Plesk-installatie niet is bijgewerkt.

De kwetsbaarheid is aanwezig in Plesk Panel versies 7.6.1 tot 10.3.1, draaiend op Windows en op Linux- of Unix-systemen. Versies 8.6, 9.5 en 10.3 met respectievelijk micro-updates 2, 11 en 5 zijn veilig. Op het supportforum van Parallels zijn instructies te vinden voor Plesk-beheerders om te scannen of ze gehacked zijn. De softwaremaker zelf biedt ook een script aan om alle wachtwoorden te resetten.

DDoS-aanval vorige week

Ondertussen is er sprake van een dubbele ironie. Enerzijds die van malwareverdenking door Parallels mailwaarschuwing over Plesk, terwijl het niet-updaten een malwarerisico brengt. Anderzijds die van het door De Joode opgemerkte DDoS-gevaar dat gehackte Plesk-installaties vormen.

Hoster Strato is namelijk krap een week geleden onder vuur gekomen van een DDoS-aanval. De diensten van het bedrijf zijn maandagavond flink gehinderd. Klanten van het bedrijf klaagden dat hun Strato-diensten “wel een stoplicht leken: aan, uit, aan, uit". De helpdesk meldde vervolgens op Twitter dat er tegenmaatregelen zijn genomen en dat de aanval weer voorbij was.

Gebruikers hebben na die mededeling van Strato echter nog altijd problemen gehad. Volgens een verklaring van het bedrijf zelf zijn toen alleen klanten met shared webhosting geraakt, waarbij meerdere domeinen op één server draaien. Afnemers van dedicated en ook van virtuele servers zijn niet getroffen. Een deel van die laatste groep klanten is nu wel geraakt door de noodmaatregel voor de lekke Plesk-beheersoftware.

Duizenden websites offline

De DDoS-aanval van vorige week heeft duizenden websites en mailservers offline gehaald. Aanvankelijk leek het alsof er miljoenen sites waren getroffen. Het Europese hostingbedrijf Strato telt meer dan 1,4 miljoen klanten en in totaal 4 miljoen gehoste domeinen. Het onderzoek naar de aard en oorsprong van die aanval loopt nog, zegt woordvoerster Hanneke Riedijk tegen Webwereld. Zij erkent dat er vorige week “nog wat naweeën waren".

Update:

Strato benadrukt in een latere reactie nogmaals dat er geen relatie is tussen de DDoS-aanval (distributed denial of service) die de hoster vorige week trof en de afsluiting deze week van gehackte servers van klanten. Die machines waren via Plesk overgenomen en ingezet voor DoS-aanvallen (denial of service).

Woordvoerster Hanneke Riedijk spreekt ook tegen dat er na de DDoS-aanval van vorige week nog "naweeën" waren. Zij doelde met die uitspraak op het naijlen van de klachten van klanten, niet op technische problemen waar gebruikers over klaagden. "De storing is zondagavond verholpen", wat om 22:59 is gemeld door het bedrijf.