Nieuws
image

Plesk-botnet zonder toestemming slachtoffers ontsmet *update*

vrijdag 7 juni 2013, 13:26 door Redactie, 7 reacties

Een nieuw beveiligingslek in het populaire Plesk-beheerderspaneel wordt actief gebruikt om een botnet van servers op te zetten. Via Plesk is het mogelijk om websites en domeinen te beheren, of bijvoorbeeld e-mailadressen voor een domein aan te maken. Deze week publiceerde beveiligingsonderzoeker Kingcope een kwetsbaarheid waarvoor nog geen update beschikbaar is.

Volgens het Internet Storm Center zouden alleen Plesk-installaties in een bepaalde serverconfiguratie kwetsbaar zijn, maar is het onduidelijk hoeveel servers op deze manier geconfigureerd zijn.

Botnet
Op de Full-disclosure mailinglist is nu een bericht verschenen van 'RepoCERT'. Twee onderzoekers van RepoCERT onderzochten het door Kingcope onthulde lek, toen ze een botnet ontdekten dat de kwetsbaarheid gebruikte om kwetsbare webservers met een kwaadaardige IRC-bot te infecteren.

De analyse van de bot leverde het adres van een IRC-server op, maar die stond geen verbindingen toe. Ironisch genoeg was deze server kwetsbaar voor een lek dat eerder door Kingcope was gepubliceerd. Via dit lek wisten de onderzoekers de IRC-server, die ook als Command & Control-server voor het botnet fungeerde, over te nemen.

Ontsmetting
In totaal zouden meer dan 900 webservers met kwetsbare Plesk-installaties verbinding met de server maken, en kwamen er elk uur zo'n 40 besmette webservers bij. "Dat konden we niet tolereren", aldus de onderzoekers. Die schreven een tool om de besmette servers te desinfecteren, wat via een script gebeurde dat van het Plesk-lek gebruik maakt.

Op deze manier werden alle servers zonder medeweten van de eigenaren ontsmet en het botnet uitgeschakeld. De scripts en verwijdertool zijn nu openbaar gemaakt. Het bestaan van de malware wordt bevestigd door Malware Must Die!, een groep van white hat beveiligingsonderzoekers.

Update 14:08
Parallels, de organisatie die de Plesk software ontwikkelt, zegt op Slashdot dat het nu geopenbaarde lek een variatie van een kwetsbaarheid is die van vorig jaar dateert en alleen bij oudere installaties aanwezig is.

Alle ondersteunde Plesk-versies zijn niet kwetsbaar. Klanten die de niet meer ondersteunde, legacy-versies van Plesk gebruiken krijgen het advies om te upgraden of een niet ondersteunde workaround toe te passen.

Reacties (7)
07-06-2013, 13:59 door AcidBurn
Die schreven een tool om de besmette servers te desinfecteren, wat via een script gebeurde dat van het Plesk-lek gebruik maakt.

Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.
07-06-2013, 15:02 door dutchfish
Door AcidBurn:
Die schreven een tool om de besmette servers te desinfecteren, wat via een script gebeurde dat van het Plesk-lek gebruik maakt.

Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.

Het omgekeerde scenario lijkt me net zo waarschijnlijk i.e. je doet niets en duizenden doosjes gaan offline.

Het blijft een lastig parket om zoiets te beslissen. Ik vindt de genomen beslissing wel een met ballen .....
07-06-2013, 15:51 door AcidBurn
Door dutchfish:
Door AcidBurn:
Die schreven een tool om de besmette servers te desinfecteren, wat via een script gebeurde dat van het Plesk-lek gebruik maakt.

Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.

Het omgekeerde scenario lijkt me net zo waarschijnlijk i.e. je doet niets en duizenden doosjes gaan offline.

Het blijft een lastig parket om zoiets te beslissen. Ik vindt de genomen beslissing wel een met ballen .....

Ja, dat zeer zeker. Je zult maar persongeluk het FBI/NSA botnet deactiveren :-)
07-06-2013, 18:09 door Anoniem
Door AcidBurn:
Die schreven een tool om de besmette servers te desinfecteren, wat via een script gebeurde dat van het Plesk-lek gebruik maakt.

Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.
Besmette server offline - daar zou ik niet zo mee zitten.
09-06-2013, 15:06 door AcidBurn
Nee? Dus ik mag ook gebruikmaken van een lek in jouw server als ik zie dat je een bot er op hebt staan?
10-06-2013, 09:36 door Anoniem
900 besmette machines, 40 nieuwe elk uur. Wat is je alternatief? Niks doen en wachten, hopen dat de admins zelf achter het probleem komen? Eigenaren achterhalen en per e-mail benaderen?

Goed beschouwd is er geen alternatief...
10-06-2013, 16:07 door Eric-Jan H te D
Door Anoniem: Goed beschouwd is er geen alternatief...

Een alternatief zou zijn op de servers van de ISP een firewallachtige applicatie te plaatsen welke botverkeer van en naar de geïnfecteerde servers blokkeert. Dit geeft vervolgens voldoende tijd om de eigenaren te waarschuwen.

Zoals ik een eerdere post al schreef: "zelf ingrijpen brengt grote risico's met zich mee". Wat dacht je alleen al van de aansprakelijkheid van degene die de actie uitvoert in het geval er door die actie iets gruwelijk fout gaat,
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure