Web-Server: Leck in Plesk Panel führt zu Angriffswelle

Seit Mitte Juli wurden Tausende Seiten mit Schad-Code infiziert. Dabei greifen die Hacker auf einen Domain Name Generator zurück. Dadurch lassen sich die Angriffe schwerer abwehren. Für ihre Angriffe nutzen die Hacker allesamt eine neue Version des Black Hole Tool-Kits.

Die angegriffenen Server verwenden verschiedene Technologien, wie ASP.net, PHP und auch verschiedene Web-Server wie Apache oder Microsofts IIS. Einzig gemein ist den angegriffenen Servern, dass sie über Server-Administrations- und Web-Seiten-Managment von Plesk Panel verwaltet werden.

Jetzt prüft der Hersteller, ob es nicht ein bislang unbekanntes Leck in dem Verwaltungs-Tool gibt, das Nutzer mit einer grafischen Oberfläche für die Verwaltung von Web-Servern versorgt.

An der Theorie, dass diese Angriffe etwas mit Plesk zu tun haben könnten, scheint durchaus etwas dran zu sein. So häufen sich in den Nutzerforen von Plesk entsprechende Anfragen und die Angriffe gehen derzeit auch noch ungehindert weiter.

Das Unternehmen geht jetzt davon aus, dass diese Welle mit einer älteren Serie zusammenhängt. Damals konnten die Angreifer über eine SQL-Injection Passwörter von Plesk-Administratoren und Kunden erbeuten.

Die Vermutung liegt jetzt nahe, dass der aktuelle Angriff auf dem vorherigen aufbaut. Wie ein Mitglied des Plesk-Teams festhält, “sehen wir nun die zweite Runde des Exploits, das auf der geklauten Plesk-Datenbank aufbaut.” Möglicherweise haben die Angreifer nur deshalb mit dem Angriff gewartet, um die Vorgehensweise automatisieren und testen zu können.

Dennoch scheint es auch Argumente zu geben, die gegen diese Darstellung sprechen. Denn es berichten auch Nutzer von erfolgreichen Angriffen, die das alte Leck behoben haben und auch ihre Passwörter erneuert haben. Daher könnte es sich derzeit auch um ein neues Leck handeln. Weitere Informationen finden sich in einem Advisoriy. Pralells empfielt, nach dem Ändern des Passwortes auch alle aktiven Sessions zu löschen.

In einschlägigen Foren sollen Hacker auch ein Leck für Plesk Panel 10.4 verkaufen.

Update: Parallels teilt jetzt in einem Advisory mit, dass sämtliche kompromittierte Server auf einen Fehler zurückzuzuführen sind, der bereits im Februar bekannt wurde und der auch bereits gepatcht ist. Mit einem aktuellen MicroUpdate lasse sich diese Verwundbarkeit beheben, teilt der Hersteller mit.

Plesk 11 allerdings ist nicht von dem SQL-Injection-Problem betroffen, anders als ältere Versionen. Als Alternative zu einem Versions-Update empfiehlt der Hersteller, den Zugriff auf den Plesk File Manager zu deaktivieren. Denn hier haben die Angreifer bislang den bösartigen Code eingeschleust.