Idioma:

Trend Micro identifica día cero explotación de Plesk que se traduce en servidor web comprometidos

15 Junio 2013 | En Noticias | 344 Vistas | Por

Haga clic en & compartir: 


Trend Micro, líder mundial em seguridad na nuvem, es el seguimiento de una exploración que afecta a algunas de las versiones anteriores de Plesk, lo que permite al atacante controlar totalmente un servidor vulnerable. Plesk es hecha por paralelos y es un popular web hosting panel de control. Esta vulnerabilidad representa un alto riesgo a todos los sitios alojados en sistemas que utilizan versiones anteriores y sin apoyo de Plesk. Afortunadamente, Trend Micro protege a sus usuarios contra esta amenaza vía profunda seguridad.

SegurancaEsta es una vulnerabilidad de inyección de comando en el paralelo de Plesk, Ya está siendo explotado por código malicioso. En la última semana, el “Kingcope” informó por primera vez el código para aprovechar esta vulnerabilidad en la lista con una amplia difusión. Esta vulnerabilidade é fácilmente explorada com o código já disponível e esse processo, ser exitoso, puede conducir a completar el sistema de compromiso con el servicio web de privilegios. A vulnerabilidade é causada devido a erros de configuração no PHP do aplicación afetado.

Código de explotación publicado invoca directamente el intérprete PHP con el argumento de "allow_url_include = on, safe_mode = simulación libres andsuhosin = on ". La "allow_url_inlcude" permite a argumento cualquier script PHP se inserta remotamente por un atacante y el “simulación de Suhosin.” se utiliza para poner el sistema en modo simulado, o que resulta em protección reduzida.

Plesk utiliza una configuración predeterminada, "scriptAlias/phppath /" / usr/bin / ", en Apache que evoca el/usr/bin directorio cuando el atacante pide el/phppath.

Así, el atacante fácilmente puede aprovechar esta vulnerabilidad mediante la invocación de la intérprete PHP con argumentos inseguros así: /phppath/php?-allow_url_include d = en-d safe_mode = off-d suhosin. simulación = on.

Esta vulnerabilidad es diferente de CVE-2012-1823 porque el intérprete PHP se llama directamente. El autor explica como revela el código de explotación. Curiosamente, el autor del código también ofrece una versión SSL de la granja. Afirma que esta hazaña fue probada con éxito en las versiones 8.6, 9.0, 9.2, 9.3 y 9.5.4 el Plesk.

El Kingcope señaló también que este ataque no funciona con las últimas versiones de Plesk. Como lo señalamos en el incidente de "Ruby on Rails", No todos actualización sus servidores regularmente o con la última versión por varias razones. Así, Podemos ver sitio basado en Plesk se ve afectado por esta hazaña en un futuro próximo.

Según el proveedor, Esta vulnerabilidad es una variante del largo plazo otro conocido CVE-2012-1823, relacionados con el modo CGI sólo para PHP en Plesks mayor. Todas las versiones soportadas actualmente de Parallels Plesk Panel 9.5, 10.x y x 11, así como la automatización de Parallels Plesk, No son vulnerables. Si alguien está usando el legado, o una versión no compatible de Parallels Plesk Panel, Estos deben actualizar a la versión más reciente. Para las versiones heredadas de Parallels Plesk Panel, proporcionar una solución sugerida y no descrito en http://kb.parallels.com/en/113818.

Por el momento, Clientes de Trend Micro Security profunda se recomiendan instalar la última actualización de DSRU13-018. La siguiente regla de seguridad profunda aborda el tema: 1005529 – Vulnerabilidad de ejecución remota de comandos PHP para Parallels Plesk

Dada la gravedad del bug, aconselhamos clientes e todos os otros usuários do Plesk a comentar a linha “scriptAlias /phppath/” /usr/bin/” ” de configuração do Apache e habilitar a autenticação nas páginas do painel de controle Plesk. Para aprender más sobre cómo hacer que sus servidores de prueba de las explotaciones, Puedes leer el informe Vulnerabilidad de monitoreo: los servidores están operando a prueba?

En Ivaiporã-PR, Ingeniero informático, Administrador del grupo de trabajo consejos en General. Apasionado de la tecnología y la informática.



Un poco sobre nosotros

    Generalmente, el grupo apareció en consejos 2007 de ideas innovadoras sobre problemas que enfrentan diariamente por aquellos que utilizan la ciencia tecnología y equipo, los usuarios normales y técnicos. Pero donde hizo, ¿por qué y cuál es el propósito de este sitio?

Haga clic aquí para leer!

Siga o Dicas em Geral no Google+

Video de la semana