Een beveiligingslek in het populaire Plesk-beheerderspaneel dat in juni werd geopenbaard, blijkt al sinds februari te worden misbruikt. Via Plesk is het mogelijk om websites en domeinen te beheren, of bijvoorbeeld e-mailadressen voor een domein aan te maken. Begin juni publiceerde beveiligingsonderzoeker Kingcope een kwetsbaarheid waarvoor nog geen update beschikbaar is.

Volgens Parallels, het bedrijf dat Plesk ontwikkelt, zou het niet om een nieuwe kwetsbaarheid gaan, maar om een variant van een bekend lek dat vorig jaar jaar werd ontdekt en alleen bij oudere installaties aanwezig is. Twee dagen nadat Kingcope zijn exploit had gepubliceerd die van het lek misbruik maakt, werden de eerste aanvallen in het wild ontdekt.

Aanvallen
Via het lek werden allerlei servers gekaapt en onderdeel van een botnet gemaakt. Eén van deze botnets werd proactief door onderzoekers ontsmet. Tijdens het onderzoek naar de kwetsbaarheid ontdekte beveiligingsbedrijf Sucuri dat de aanvallen niet alleen nog steeds plaatsvinden, maar al maanden voor de onthulling van Kingcope actief waren.

Aan de hand van logbestanden blijkt dat de eerste scans die naar het lek zochten al in februari plaatsvonden. Sucuri roept systeembeheerders op om ook in hun logbstanden te kijken en naar de regel '/phppath/php' te zoeken.