Plesk-botnet zonder toestemming slachtoffers ontsmet *update*
Een nieuw beveiligingslek in het populaire Plesk-beheerderspaneel wordt actief gebruikt om een botnet van servers op te zetten. Via Plesk is het mogelijk om websites en domeinen te beheren, of bijvoorbeeld e-mailadressen voor een domein aan te maken. Deze week publiceerde beveiligingsonderzoeker Kingcope een kwetsbaarheid waarvoor nog geen update beschikbaar is.
Volgens het Internet Storm Center zouden alleen Plesk-installaties in een bepaalde serverconfiguratie kwetsbaar zijn, maar is het onduidelijk hoeveel servers op deze manier geconfigureerd zijn.
Botnet
Op de Full-disclosure mailinglist is nu een bericht verschenen van 'RepoCERT'. Twee onderzoekers van RepoCERT onderzochten het door Kingcope onthulde lek, toen ze een botnet ontdekten dat de kwetsbaarheid gebruikte om kwetsbare webservers met een kwaadaardige IRC-bot te infecteren.
De analyse van de bot leverde het adres van een IRC-server op, maar die stond geen verbindingen toe. Ironisch genoeg was deze server kwetsbaar voor een lek dat eerder door Kingcope was gepubliceerd. Via dit lek wisten de onderzoekers de IRC-server, die ook als Command & Control-server voor het botnet fungeerde, over te nemen.
Ontsmetting
In totaal zouden meer dan 900 webservers met kwetsbare Plesk-installaties verbinding met de server maken, en kwamen er elk uur zo'n 40 besmette webservers bij. "Dat konden we niet tolereren", aldus de onderzoekers. Die schreven een tool om de besmette servers te desinfecteren, wat via een script gebeurde dat van het Plesk-lek gebruik maakt.
Op deze manier werden alle servers zonder medeweten van de eigenaren ontsmet en het botnet uitgeschakeld. De scripts en verwijdertool zijn nu openbaar gemaakt. Het bestaan van de malware wordt bevestigd door Malware Must Die!, een groep van white hat beveiligingsonderzoekers.
Update 14:08
Parallels, de organisatie die de Plesk software ontwikkelt, zegt op Slashdot dat het nu geopenbaarde lek een variatie van een kwetsbaarheid is die van vorig jaar dateert en alleen bij oudere installaties aanwezig is.
Alle ondersteunde Plesk-versies zijn niet kwetsbaar. Klanten die de niet meer ondersteunde, legacy-versies van Plesk gebruiken krijgen het advies om te upgraden of een niet ondersteunde workaround toe te passen.
Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.
Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.
Het omgekeerde scenario lijkt me net zo waarschijnlijk i.e. je doet niets en duizenden doosjes gaan offline.
Het blijft een lastig parket om zoiets te beslissen. Ik vindt de genomen beslissing wel een met ballen .....
Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.
Het omgekeerde scenario lijkt me net zo waarschijnlijk i.e. je doet niets en duizenden doosjes gaan offline.
Het blijft een lastig parket om zoiets te beslissen. Ik vindt de genomen beslissing wel een met ballen .....
Ja, dat zeer zeker. Je zult maar persongeluk het FBI/NSA botnet deactiveren :-)
Het heft in eigen handen nemen, dit gaat wel heel ver. Wie weet wat er was gebeurd als een fout in hun script de server offline had gehaald - potentieel duizenden websites offline.
Goed beschouwd is er geen alternatief...
Een alternatief zou zijn op de servers van de ISP een firewallachtige applicatie te plaatsen welke botverkeer van en naar de geïnfecteerde servers blokkeert. Dit geeft vervolgens voldoende tijd om de eigenaren te waarschuwen.
Zoals ik een eerdere post al schreef: "zelf ingrijpen brengt grote risico's met zich mee". Wat dacht je alleen al van de aansprakelijkheid van degene die de actie uitvoert in het geval er door die actie iets gruwelijk fout gaat,
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.