Consternatie onder hostingklanten: hun sites worden doorlopend gehackt, via beheerpanel Plesk. Een 0-day gat? Nee, een bekend lek waarvoor al sinds september patches zijn. Of toch?

Een lezer tipt Webwereld dat zijn sites aan de lopende band gehackt worden, via een gat in beheersoftware Plesk. In fora over dat virtualisatiebeheerpanel komen verse meldingen binnen door lotgenoten. Ook lopende hackcampagnes die websites malafide iframes opleveren, leiden naar Plesk. Sommige van de getroffen Plesk-gebruikers denken dat het om een geheel nieuw gat gaat. Zij hebben hun Plesk-installaties namelijk na hacks netjes gepdate, maar zien hun servers en sites gelijk wr voor de bijl gaan.

'Geen 0-day'
Enig onderzoek n mededelingen van Plesk-producent Parallels spreken de vrees voor een nieuw gat tegen. Het lijkt om een oud, allang bekend gat te zijn, waarvoor ook al ruim een half jaar een patch beschikbaar is. Dat lek is na eerder - mogelijk niet opgemerkt - misbruik echter opnieuw te misbruiken, ook als de patch is genstalleerd. Eenmaal binnengekomen via een Plesk-gebruiker heeft een aanvaller volledige admin-rechten met toegang tot de hele database met wachtwoorden.

Maar ook het resetten van de wachtwoorden voor admins en clients is niet afdoende. Softwaremaker Parallels dringt er op aan dat beheerders na het wijzigen van wachtwoorden ook de sessies-tabel opschonen in de Plesk PSA-database. Verder is het mogelijk dat gebruikers na een reset hun oude wachtwoorden weer gebruiken, terwijl die dus uitgelekt zijn.

Desondanks leeft de verdenking van een compleet nieuw 0-day gat, waar dus nog geen patch tegen is. Ook security-expert Brian Krebs maakt hier melding van: informatie over een 0-day in Plesk wordt voor zo'n 8000 dollar op online zwarte markten te koop aangeboden. De security-blogger vermeldt dat het om een gat gaat in alle oudere Plesk-versies, maar dan wel inclusief het veilig geachte 10.4.4.

Updaten, resetten, n cleanen
Dat zou dan weer net het gat zijn van september vorig jaar, waarvoor Parallels in februari per mail - wat onhandig - heeft gewaarschuwd en wat in maart succesvol is uitgebuit in een aanvalsgolf. Die kwetsbaarheid zat in alle oude Plesk-versies van vr 10.4, dat in november is uitgebracht. Plesk-maker Parallels heeft de zaak in onderzoek, maar weet de claims van een gat in 10.4 niet te bevestigen.

Het bedrijf verwijst hierbij wel meteen naar de oudere kwetsbaarheid, waarvoor het in september vorig jaar patches heeft uitgebracht. Hierbij noemt de softwaremaker ook het risico van niet volledig opschonen van gehackte installaties. Na het resetten van wachtwoorden moeten beheerders nog wel sessies ruimen om te voorkomen dat kwaadwillenden later opnieuw binnen kunnen komen. Voor beide opruimacties biedt Parallels een script om dat volledig geautomatiseerd te kunnen doen.

Advies: geheel upgraden
De softwareleverancier geeft hoe dan ook het advies de nieuwste release 11 van Plesk te gebruiken. Die courante versie is in juni dit jaar uitgekomen en is volgens de maker geheel gemaakt voor betere beveiliging. Terwijl de oudere 10-, 9- en ook 8-reeksen zijn getroffen door het antieke gat, is dat geheel niet aanwezig in versie 11, meldt de softwareproducent. De patch van september is als micro-update uitgekomen voor de oudere versies, maar geheel migreren naar 11 is volgens Parallels het beste.

Migreren naar de nieuwste release is echter niet altijd een optie voor alle gebruikers, stelt ceo Fotios Panagiotakopoulos van hoster EuroVPS. Hij heeft klanten die nu net zijn gehackt via Plesk, waaronder n die Webwereld heeft getipt. Sommige klanten kiezen ervoor om zelf hun omgeving te beheren, geeft Panagiotakopoulos aan. "Als ze hun wachtwoord wijzigen, kunnen wij er niet meer bij." Het is dan de verantwoordelijkheid van de klant om de software uptodate te houden, en EuroVPS wijst klanten daar ook op, aldus de ceo.

Terwijl het installeren van Plesk-updates geen grote klus is, geldt dat niet voor een upgrade naar een geheel nieuwe hoofdversie, stelt Panagiotakopoulos. Het installeren van Parallels' micro-update is vaak een betere optie. Op Linux kan dat geautomatiseerd, terwijl het op Windows handwerk vereist. EuroVPS doet beide, verzekert de ceo, voor klanten die het beheer overlaten aan de hoster.

Zelf patchen
De Webwereld-tipgever heeft van EuroVPS de verzekering gegeven dat die alle andere klanten op de gehackte server gaat waarschuwen. Panagiotakopoulos bevestigt dit aan Webwereld. Het Twitter-account van het in Nederland gevestigde bedrijf slaat in ieder geval geen groot alarm: de meest recente tweet is van 1 maart dit jaar. Gewaarschuwde klanten moeten hun Plesk-software wel zelf updaten, dat kan EuroVPS niet doen, vertelt de ceo.

Uiteindelijk komt het via een omslachtige omweg wel goed. Als een niet-geupdate site wordt gehackt en misbruikt voor bijvoorbeeld spamming, gaat EuroVPS namelijk over op het blokkeren van die servers. Vervolgens kan de klant contact opnemen met de hoster, waarna die de installatie opruimt of vanaf back-up terugzet. Daarbij wordt wel direct de Plesk-installatie gepdate, benadrukt de ceo.

Sites en servers blokkeren
In maart dit jaar heeft hostingbedrijf Strato eenzelfde blokkade ook al opgelegd aan sommige klanten. Het antieke Plesk-gat van september is toen benut door kwaadwillenden. Een Strato-klant heeft daarbij Webwereld getipt dat zijn servers en sites ontoegankelijk zijn, ook voor hemzelf. Uiteindelijk bleek dat die klant het Plesk-beheerpanel niet had gepdate, waardoor zijn machines bij Strato waren gehackt en vervolgens dus bewust geblokkeerd.

Panagiotakopoulos bevestigt nu dat er momenteel flink gescand wordt op poorten die Plesk gebruikt. "Dat blijft ook zo", schetst hij het sombere toekomstbeeld. Security.nl weet te melden dat er een grote aanvalsgolf gaande is. Daarbij zijn de afgelopen dagen zo'n 50.000 websites gehackt en voorzien van malware om de pc's van bezoekers te besmetten.

Bekende gaten
De aanvallers zijn actief op zoek naar sites die draaien met bekende kwetsbaarheden, in onder meer blogsoftware WordPress, afbeeldingsverkleiner timthumb, de bestandsupload-module uploadify en beheeromgeving phpmyadmin. Een ander doelwit is beheerpanel Plesk voor virtuele machines, weet websitebeveiliger Sucuri Labs te melden. Dat bedrijf meet een flinke toename in het aantal scans op de door Plesk gebruikte poort 8443.

Plesk-poort 8443 is flink in trek, bij kwaadwillenden op zoek naar oude, kwetsbare installaties:




Het Plesk-gat teistert overigens niet alleen hosters EuroVPS en Strato, maar wordt naar verluidt momenteel ook misbruikt bij WebReus. Die Plesk-gebruikende prijsvechter heeft eerder al met flinke eigen hostingproblemen gekampt.