Trend Micro identifica exploração de dia zero do Plesk que resulta em servidor de web comprometido

A vulnerabilidade encontrada pela empresa atinge as versões mais antigas e sem suporte do painel de controle.

São Paulo– A Trend Micro, líder mundial em segurança na nuvem, está rastreando uma exploração que afeta algumas das versões mais antigas do Plesk, permitindo ao invasor controlar completamente um servidor vulnerável. O Plesk é feito pela Parallels e é um popular painel de controle de hospedagem web. Esta vulnerabilidade representa um alto risco a todos os sites hospedados em sistemas que usam versões mais antigas e sem suporte do Plesk. Felizmente, a Trend Micro protege seus usuários contra esta ameaça via Deep Security.

Esta é uma vulnerabilidade de injeção de comando no Plesk da Parallel, que já está sendo explorada por códigos maliciosos. Na última semana, o "kingcope" relatou pela primeira vez o código de exploração desta vulnerabilidade na lista de discussão com uma vasta divulgação. Esta vulnerabilidade é facilmente explorada com o código já disponível e esse processo, sendo bem sucedido, pode levar ao completo comprometimento do sistema com privilégios de serviço da web. A vulnerabilidade é causada devido a erros de configuração no PHP do aplicativo afetado.

O código de exploração publicado invoca diretamente o interpretador de PHP com o argumento “allow_url_include=on, safe_mode=off andsuhosin.simulation=on”. O argumento “allow_url_inlcude” permite que qualquer script PHP seja inserido remotamente pelo atacante e o "suhosin.simulation" é usado para colocar o sistema em modo simulado, o que resulta em proteção reduzida.

O Plesk usa uma configuração padrão, “scriptAlias/phppath/”/usr/bin/”, no Apache que evoca diretamente o diretório /usr/bin quando o atacante solicita o /phppath.

Assim, o invasor pode facilmente explorar esta vulnerabilidade invocando o interpretador de PHP com argumentos inseguros como este: /phppath/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on.

Esta vulnerabilidade é diferente do CVE-2012-1823 porque o interpretador de PHP está sendo chamado diretamente. O autor esclarece isto conforme divulga o código do exploit. Curiosamente, o autor do código também fornece uma versão SSL da exploração. Ele afirma que esta façanha foi testada com sucesso em versões 8.6, 9.0, 9.2, 9.3 e 9.5.4 do Plesk.

O Kingcope observou também que este exploit não funciona com as versões mais recentes do Plesk. Como observamos no incidente “Ruby on Rails”, nem todos atualizam seus servidores regularmente ou com a versão mais recente por razões variadas. Assim, poderemos ver sites baseados em Plesk sendo afetados por essa façanha em um futuro próximo.

De acordo com o fornecedor, esta vulnerabilidade é uma variação de outra conhecida de longa data CVE-2012-1823, relacionada com o modo CGI apenas para PHP em Plesks mais antigos. Todas as versões atualmente suportadas do Parallels Plesk Panel 9.5, 10.x e 11.x, bem como o Parallels Plesk Automation, não estão vulneráveis. Se alguém estiver usando o legado, ou uma versão sem suporte do Parallels Plesk Panel, estes devem atualizar para a versão mais recente. Para as versões de legado do Parallels Plesk Panel, proporcionamos uma solução sugerida e sem suporte descrita em http://kb.parallels.com/en/113818.

Por enquanto, clientes Deep Security da Trend Micro são aconselhados a instalar a última atualização DSRU13-018. A seguinte regra do Deep Security aborda a questão: 1005529 - Vulnerabilidade de Execução Remota de Comandos PHP para Parallels Plesk

Dada a gravidade do bug, aconselhamos clientes e todos os outros usuários do Plesk a comentar a linha “scriptAlias /phppath/” /usr/bin/” ” de configuração do Apache e habilitar a autenticação nas páginas do painel de controle Plesk. Para saber mais sobre como deixar seus servidores à prova de explorações, você pode ler o relatório Monitoramento de Vulnerabilidades: seus servidores estão à prova de exploração?

Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. |www.trendmicro.com.