Het op afstand te misbruiken gat in hostingbeheerpanel Plesk is mogelijk al maanden bekend én misbruikt door kwaadwillenden. De kwetsbaarheid die krap twee weken geleden is geopenbaard, compleet met proof-of-concept exploitcode, vertrouwt mede op een al ouder gat (CVE-2012-1823). De verse exploit van hacker Kingcope gebruikt daarbij nog een tweede 'issue', vermeldt Plesk-maker Parallels in zijn security-rapport hierover.

'Sinds februari'

Die tweede kwetsbaarheid is het direct kunnen aanroepen van de PHP-interpreter. Kingcope heeft op de Full Disclosure-mailinglijst al aangegeven dat zijn vondst dus níet het PHP-gat van begin vorig jaar is. De gecombineerde exploit gebruikt phppath/php en daar blijken maanden geleden al online-scans op te zijn uitgevoerd. Dit betekent volgens de Nederlandse site Security.nl en beveiligingsbedrijf Sucuri dat deze kwetsbaarheid allang bekend was bij én in gebruik door kwaadwillenden.

Sucuri heeft in zijn logs een zoektocht gedaan naar hits op dat PHP-bestand en vond hits voor mei, april en zelfs februari dit jaar. Plesk-servers zouden dus al maanden lang gecompromitteerd zijn via deze combinatie van het PHP-gat dat in mei vorig jaar is onthuld plus de vondst die Kingcope begin deze maand heeft geopenbaard. CTO Daniel Cid van Sucuri roept beheerders op om hun eigen logs ook door te nemen op het kwetsbare bestand.

Gat blijft behouden

Terwijl de kwetsbaarheid formeel alleen zit in oudere Plesk-versies blijken nieuwere installaties toch ook kwetsbaar te kunnen zijn. De meest recente versie van de oude 9-reeks is niet kwetsbaar, net zoals opvolgers in de 10- en 11-reeks (van respectievelijk 2010 en 2012). Parallels sprak daarmee de claim van Kingcope tegen dat Plesk 9.5.4 ook kwetsbaar was.

Dit wil echter niet zeggen dat nieuwere versies veilig zijn. Een Plesk-installatie die direct van 9.0 of 9.2 is ge-upgraded naar 10.x of 11.x is ook kwetsbaar, merkt leverancier Parallels op. Het overslaan van de tussenversie 9.5.x zorgt er dus voor dat de kwetsbaarheid behouden blijft.

Teruggehackt en opgeschoond

Begin juni hebben securiy-onderzoekers van RepoCERT al ontdekt dat er webservers via dit gat zijn geronseld voor botnetten. Bij de ontleding van een groot exemplaar is een andere exploit van Kingcope nuttig gebleken om in te breken op de command&control-server. Meer dan 900 gecompromitteerde hosts probeerden contact te leggen met de 'teruggehackte' C&C-server.

De RepoCERT-hackers hebben ook een desinfectie-tool geschreven en die beschikbaar gesteld. Deze tool hebben ze eerst echter via het bewuste Plesk-gat uitgevoerd op de zombies in het door hun gekraakte botnet. Zowel de tool als het script voor upload en uitvoering zijn openlijk vrijgegeven.