Idioma:

Trend Micro identifica exploração de dia zero do Plesk que resulta em servidor de web comprometido

15 de junho de 2013 | Em Notícias | 341 visualizações | Por

Clique e compartilhe: 


A Trend Micro, líder mundial em segurança na nuvem, está rastreando uma exploração que afeta algumas das versões mais antigas do Plesk, permitindo ao invasor controlar completamente um servidor vulnerável. O Plesk é feito pela Parallels e é um popular painel de controle de hospedagem web. Esta vulnerabilidade representa um alto risco a todos os sites hospedados em sistemas que usam versões mais antigas e sem suporte do Plesk. Felizmente, a Trend Micro protege seus usuários contra esta ameaça via Deep Security.

SegurancaEsta é uma vulnerabilidade de injeção de comando no Plesk da Parallel, que já está sendo explorada por códigos maliciosos. Na última semana, o “kingcope” relatou pela primeira vez o código de exploração desta vulnerabilidade na lista de discussão com uma vasta divulgação. Esta vulnerabilidade é facilmente explorada com o código já disponível e esse processo, sendo bem sucedido, pode levar ao completo comprometimento do sistema com privilégios de serviço da web. A vulnerabilidade é causada devido a erros de configuração no PHP do aplicativo afetado.

O código de exploração publicado invoca diretamente o interpretador de PHP com o argumento “allow_url_include=on, safe_mode=off andsuhosin.simulation=on”. O argumento “allow_url_inlcude” permite que qualquer script PHP seja inserido remotamente pelo atacante e o “suhosin.simulation” é usado para colocar o sistema em modo simulado, o que resulta em proteção reduzida.

O Plesk usa uma configuração padrão, “scriptAlias/phppath/”/usr/bin/”, no Apache que evoca diretamente o diretório /usr/bin quando o atacante solicita o /phppath.

Assim, o invasor pode facilmente explorar esta vulnerabilidade invocando o interpretador de PHP com argumentos inseguros como este: /phppath/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on.

Esta vulnerabilidade é diferente do CVE-2012-1823 porque o interpretador de PHP está sendo chamado diretamente. O autor esclarece isto conforme divulga o código do exploit. Curiosamente, o autor do código também fornece uma versão SSL da exploração. Ele afirma que esta façanha foi testada com sucesso em versões 8.6, 9.0, 9.2, 9.3 e 9.5.4 do Plesk.

O Kingcope observou também que este exploit não funciona com as versões mais recentes do Plesk. Como observamos no incidente “Ruby on Rails”, nem todos atualizam seus servidores regularmente ou com a versão mais recente por razões variadas. Assim, poderemos ver sites baseados em Plesk sendo afetados por essa façanha em um futuro próximo.

De acordo com o fornecedor, esta vulnerabilidade é uma variação de outra conhecida de longa data CVE-2012-1823, relacionada com o modo CGI apenas para PHP em Plesks mais antigos. Todas as versões atualmente suportadas do Parallels Plesk Panel 9.5, 10.x e 11.x, bem como o Parallels Plesk Automation, não estão vulneráveis. Se alguém estiver usando o legado, ou uma versão sem suporte do Parallels Plesk Panel, estes devem atualizar para a versão mais recente. Para as versões de legado do Parallels Plesk Panel, proporcionamos uma solução sugerida e sem suporte descrita em http://kb.parallels.com/en/113818.

Por enquanto, clientes Deep Security da Trend Micro são aconselhados a instalar a última atualização DSRU13-018. A seguinte regra do Deep Security aborda a questão: 1005529 – Vulnerabilidade de Execução Remota de Comandos PHP para Parallels Plesk

Dada a gravidade do bug, aconselhamos clientes e todos os outros usuários do Plesk a comentar a linha “scriptAlias /phppath/” /usr/bin/” ” de configuração do Apache e habilitar a autenticação nas páginas do painel de controle Plesk. Para saber mais sobre como deixar seus servidores à prova de explorações, você pode ler o relatório Monitoramento de Vulnerabilidades: seus servidores estão à prova de exploração?

De Ivaiporã/PR, Engenheiro de Computação, Administrador do Grupo Dicas em Geral. Apaixonado por Tecnologia e Informática.



Deixe seu comentário

Um pouco sobre nós

    O Grupo Dicas em Geral surgiu em 2007 a partir de idéias inovadoras sobre solução de problemas enfrentados diariamente por quem utiliza a Tecnologia e Informática, tanto usuários comuns quanto técnicos. Mas onde surgiu, por quê e qual é o propósito deste site?

Clique aqui e conheça!

Siga o Dicas em Geral no Google+

Vídeo da Semana