image

Onbekend Plesk-lek maanden misbruikt door hackers

dinsdag 18 juni 2013, 11:18 door Redactie, 1 reacties

Een beveiligingslek in het populaire Plesk-beheerderspaneel dat in juni werd geopenbaard, blijkt al sinds februari te worden misbruikt. Via Plesk is het mogelijk om websites en domeinen te beheren, of bijvoorbeeld e-mailadressen voor een domein aan te maken. Begin juni publiceerde beveiligingsonderzoeker Kingcope een kwetsbaarheid waarvoor nog geen update beschikbaar is.

Volgens Parallels, het bedrijf dat Plesk ontwikkelt, zou het niet om een nieuwe kwetsbaarheid gaan, maar om een variant van een bekend lek dat vorig jaar jaar werd ontdekt en alleen bij oudere installaties aanwezig is. Twee dagen nadat Kingcope zijn exploit had gepubliceerd die van het lek misbruik maakt, werden de eerste aanvallen in het wild ontdekt.

Aanvallen
Via het lek werden allerlei servers gekaapt en onderdeel van een botnet gemaakt. Eén van deze botnets werd proactief door onderzoekers ontsmet. Tijdens het onderzoek naar de kwetsbaarheid ontdekte beveiligingsbedrijf Sucuri dat de aanvallen niet alleen nog steeds plaatsvinden, maar al maanden voor de onthulling van Kingcope actief waren.

Aan de hand van logbestanden blijkt dat de eerste scans die naar het lek zochten al in februari plaatsvonden. Sucuri roept systeembeheerders op om ook in hun logbstanden te kijken en naar de regel '/phppath/php' te zoeken.

Reacties (1)
18-06-2013, 20:56 door Anoniem
of naar een regel welke start met: POST /%70%68%70%70%61%74%68/%70%68%70 etc.. Helaas zie ik die ook regelmatig langskomen, maar is feitelijk de uuencoded versie van dezelfde exploit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.