De nieuwe kwetsbaarheid zit in beheerpanel Plesk van leverancier Parellels, en wordt gebruikt door hosters voor de diverse sites die zij draaien. Volgens ontdekker Kingcope zijn meerdere Plesk-versies lek; hij heeft 9.5.4, 9.3, 9.2, 9.0 en 8.6 getest en kwetsbaar bevonden. Dit raakt de besturingssystemen Red Hat, CentOS en Fedora. Die twee laatstgenoemde Linux-distributies zijn gebaseerd op de eerstgenoemde.

Allernieuwste versie veilig

De ontdekker heeft tegelijk met zijn melding code vrijgegeven op de Full-Disclosure mailinglijst. Daarmee valt misbruik te maken van deze kwetsbaarheid. Plesk-installaties op Windows heeft Kingcope niet getest, en de nieuwste Plesk-versie 11.0.9 is niet kwetsbaar. De meest recente productie-release (niet te verwarren met de 11.5-preview) heeft ingebouwde bescherming wat betreft de gebruikte PHP-versie.

Eerder is al gebleken dat veel gebruikers niet de nieuwste Plesk-versie draaien. In de praktijk doen oude en zelfs antieke releases nog dienst waardoor ook een heel oud beveiligingsgat nog voor flinke problemen kan (blijven) zorgen. Nog geen jaar geleden bleek dat hierdoor kaping van alle sites op een hostingserver mogelijk. Het naijlen was te danken aan slecht update-beleid, voor zover er bij website-eigenaren überhaupt sprake is van beleid hiervoor.

Sites pwnen

Het nu geopenbaarde gat laat kwaadwillenden op afstand eigen code uitvoeren op kwetsbare servers. Dat gebeurt via de commandoprompt waarbij de aanvaller dan de rechten heeft van het geconfigureerde - en gecompromitteerde - Apache-account op de server. In een vervolgpost stelt exploitmaker Kingcope dat ook Linux-distributie Debian en Unix-variant FreeBSD kwetsbaar zijn.

Het aanroepen van een PHP-pad levert toegang tot /usr/bin op, vat een hacker samen: Via: Ars Technica.

Op basis van een online-search met portscanner-site Shodan zijn volgens Kingcope meer dan 360.000 webservers kwetsbaar. Deze door hem aangedragen scan, in een tekstbestand bij zijn exploit, is alleen voor Plesk draaiend op Linux. Het levert naast Apache-machines ook installaties met nginx op. Het is niet bekend die populaire webserver ook echt kwetsbaar is voor dit Plesk-gat.

Configuratiekwestie

De hacker is een security-onderzoeker die al jaren lid is van de Full-Disclosure mailinglijst, weet technieuwssite Ars Technica te melden. Hij heeft in de loop der tijd diverse betrouwbare exploits gemaakt.

In een tweede tekstbestand bij zijn exploit merkt Kingcope op dat de fout schuilt in deze configuratie-instelling: scriptAlias /phppath/ "/usr/bin/". Hij adviseert Apache-beheerders om die regel te verwijderen of in ieder geval te blokkeren. Een herstart van de webserver is dan nog wel nodig.

Gloednieuwe kwetsbaarheid

De hacker benadrukt dat deze kwetsbaarheid níet het al bekende CVE-2012-1823 is, omdat in dit geval niet een PHP-bestand wordt aangeroepen maar direct de PHP-interpreter. Dat andere beveiligingsgat is in mei vorig jaar per ongeluk geopenbaard en laat remote malware binnen op webservers die PHP draaien.

Het ging toen om de CGI-modus (common gateway interface) van PHP en dan ook nog alleen als de webserver een “nogal obscuur deel van de CGI-specificatie volgt". Dat bleek echter in ieder geval zo zijn bij het veelgebruikte Apache. Webservers die de FastCGI-variant draaiden, waren niet kwetsbaar.