Avira для Windows 10 info@avirus.ru

Сотни серверов попали в ботнет

В Сети обнаружен ботнет, состоящий из более 900 веб-серверов. По сообщению блога об информационной безопасности grok.org, для его построения была использована найденная на днях уязвимость в панели управления хостингом Plesk, которую разрабатывает компания Parallels.

Автор публикации, обнаруживший ботнет, сообщил, что за время наблюдения он распространялся со скоростью около 40 серверов в час.

Отметим, что работоспособный эксплойт, использующий уязвимость в популярной панели управления хостингом Parallels Plesk, был опубликован в Сети 5 июня 2013 г. пользователем Kingcope. Эксплойт позволяет удаленно выполнять произвольный код на веб-серверах.

По сообщению издания Arstechnica, работоспособность эксплойта уже подтверждена на веб-серверах, с установленными панелями Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающими под управлением Linux и FreeBSD. Исполняемость эксплойта на ОС Windows и других системах не тестировалась, и, как указывает издание, возможно, они также являются уязвимыми.

Дыра в безопасности вызвана некорректной конфигурацией кроссплатформенного веб-сервера Apache, которая позволяет напрямую обратиться к любому приложению в директории /usr/bin, где содержатся чувствительные программы, в том числе обеспечивающие работу веб-страниц и баз данных.

Уязвимость, которую сам автор эксплойта, скрывающийся под псевдонимом Kingcope, относит к высоко опасным, пока остается не закрытой. По оценке издания, в Сети находится около 360 тыс. серверов, на которые установлена панель Plesk, и на которых может быть исполнен эксплойт.

Ситуацию с закрытием уязвимости усложняет тот факт, что 8 версия Plesk не поддерживается разработчиком с 1 сентября 2012 г., а прекращение поддержки 9 версии состоялось 9 июня 2013 г.

По словам представителя Parallels Юлии Ясиновской, речь идет об использовании нового сценария для обнаруженной еще год назад старой «дыры», паразитирующей на хорошо известной уязвимости в протоколе PHP-CGI (CVE-2012-1823)».

Единственное отличие нового эксплойта от вредоносного кода из CVE-2012-1823 в том, что этот код инициирует запуск PHP-интерпретатора в режиме CGI с помощью директивы scriptAlias, определенной из Plesk, а не вызовом PHP-скрипта на сайте с PHP в режиме CGI.

Ясиновская говорит, что сценарий затронул несколько процентов клиентской базы компании, использующих старые версии Plesk. Пользователи устаревших продуктов, равно как и старых версий операционных систем, являются добровольными заложниками подобных ситуаций. Самый очевидный путь для их предотвращения – обновление программного обеспечения и операционных систем.

Компания Parallels опубликовала рекомендации по устранению этой уязвимости пользователям устаревших версий Parallels Plesk Panel. Сегодня, как и год назад, для решения проблемы пользователям Parallels Plesk Panel старых версий панели управления рекомендуется перейти на новые версии продукта.

Также была выпущена рекомендация для пользователей Parallels Plesk Panel 9.0-9.2, которая перестала поддерживаться разработчиком 9 июня 2013 г.

Можно вспомнить, что нынешняя проблема – не первая из уязвимостей, связываемых с панелью Parallels Plesk. Так, в феврале 2012 г. была описана проблема, затрагивающая версии Plesk с 7.6.1 по 10.3.1.

Тогда проникновению в веб-серверы вредоносного ПО способствовала дыра в веб-интерфейсе файлового менеджера, входящего в состав панели. Компания Parallels в 2012 г. оперативно отреагировала на ситуацию, выпустив обновления для Plesk.

Источник: www.soft.mail.ru