Nieuws
image

Plesk bewaart miljoenen wachtwoorden in platte tekst

woensdag 27 juni 2012, 10:54 door Redactie, 9 reacties

Miljoenen wachtwoorden van websites worden door het gebruikte beheerderspaneel in platte tekst opgeslagen. Het gaat om Plesk Panel van softwareontwikkelaar Parallels. Een paar dagen geleden verscheen versie 11, waar wachtwoorden niet meer in platte tekst worden bewaard, maar er zijn nog voldoende servers te vinden waarop oudere versies van de software draaien, zo waarschuwt beveiligingsonderzoeker Denis Sinegubko.

Doelwit
Plesk zou op meer dan 250.000 servers geïnstalleerd zijn. In het verleden zijn er regelmatig bugs in Plesk gevonden en is het beheerderspaneel ook regelmatig het doelwit van aanvallers geweest.

Onlangs kwam een Amerikaanse hostingprovider in het nieuws omdat het wachtwoorden in platte tekst bewaarde, maar volgens Sinegubko schiet de kritiek het doel voorbij. "In plaats van één enkel bedrijf aan de schandpaal te nagelen, kunnen we de software die ze gebruiken aan de schandpaal nagelen. Als je je zorgen over je hostingprovider maakt, kun je gewoon controleren of ze Plesk gebruiken."

Reacties (9)
27-06-2012, 11:02 door Arnhemmer
Mijn bek valt als PHP-programmeur open van verbazing bij het lezen van deze tekst. Gebruik altijd encryptie voor het storen van passwords in je database.
27-06-2012, 11:41 door Anoniem
En zie hier wat de gevolgen daarvan kunnen zijn (Chances are that the bad guys used the Plesk SQL Injection Vulnerability a while ago to obtain the usernames and passwords of Plesk users):
https://isc.sans.edu/diary/Run+Forest+Update+/13561
27-06-2012, 11:47 door Bitwiper
De huidige golf van ABN-Amro spams -
[...]
Wij hebben een aanvraag gekregen om 500 euro van Uw Rabobank rekening afteschrijven om de levering van de documenten te betalen.
[...]
Met besten groeten,
Het dienst van klanten support van ABN AMRO.
lijkt naar heel veel verschillende shared hosting servers te verwijzen die via PLESK beheerd kunnen worden. Het gaat niet om phishing, je krijgt bij het bezoeken van zo'n link meerdere exploits op je web browser (en plugins) afgevuurd. Detectie is laag en door de vele IP adressen hebben AV leveranciers moeite om bijtijds hun website blacklists bij te werken. Het is een grote bende.

Zie ook http://isc.sans.edu/diary/Run+Forest+Update+/13561 en http://kb.parallels.com/en/113321 voor een recente PLESK SQL Injection vulnerability. PLESK owners: PATCH NOW!

PS zeg nou niet "je bent stom als je hier intrapt met zulke fouten". Het wachten is op dit soort mails die foutloos zijn. Taalfouten zijn dus geen criterium.
27-06-2012, 11:51 door Anoniem
Plesk staat bij mij niet bepaald bekend als een veilige omgeving. Dit is een zoveelste bevestiging.

Het meest ergelijke is echter dat er zoveel aanbieders zijn die zonder enige schroom honderdduizenden klanten en zichzelf opschepen met producten waarvan ze zelf niet (willen) weten welke risico's men loopt. Zolang ze maar geld verdienen vinden ze het prima. Dat is geen professionele houding, laat staan verantwoord.
27-06-2012, 12:44 door Anoniem
je bent stom als je hier intrapt met zulke fouten.

bij deze,
27-06-2012, 16:24 door Anoniem
Het bericht is wel lekker kort door de bocht. Wanneer je plesk 10 draait kan je upgraden naar 11, problem solved. Maar plesk 11 is pas 1 dag uit. En ja het was sinds het grootschalige misbruik rond maart allang bekend dat die wachtwoorden plain text in een database staan welke met een hashed wachtwoord ontgrendeld moeten worden. Wanneer alle updates gewoon netjes zijn geïnstalleerd valt het risico voor exploits aanzienlijk mee. Waarom was het misbruik zo grootschalig? Omdat de panels van de beheerders niet up to date waren, parallels had hier namelijk allang een fix voor uitgebracht. En natuurlijk geef ik toe dat plain tekst passwords not done zijn, maar goed de nieuwe versie heeft dat probleem niet meer dus er is wel degelijk iets aan gedaan.
27-06-2012, 17:18 door Anoniem
Een wachtwoord is persoonlijk, dus ook de database waarin deze is opgeslagen mag deze nooit en te nimmer kennen.

Als je dus je wachtwoord kwijt bent en deze opvraagt om vervolgens een mailtje terug te krijgen met daarin je wachtwoord, dan weet je dat er iets mis is met het systeem.
27-06-2012, 20:18 door burne101
Door Anoniem: Een wachtwoord is persoonlijk, dus ook de database waarin deze is opgeslagen mag deze nooit en te nimmer kennen.

Leuk plan, maar waarom geef je je wachtwoord dan uit handen bij het inloggen? Onderweg is het hopelijk beschermt tegen meeluisteren door goed gebruik van SSL, maar de webserver is evenmin te vertrouwen. Of daar nou wel of geen plesk op draait. En dat terwijl er al heel lang prima challenge/response-systemen zijn waarmee ook dat overbodig wordt.
28-06-2012, 16:26 door Anoniem
welk plan? ik geef gewoon aan dat indien een dergelijk systeem je wachtwoord in clear retouneerd, je al aan de bel moet/kan trekken en/of consequenties verbinden aan de betreffende service.
jouw verhaal heeft dan ook betrekking op je betalingen met je pinpas bij de appie, snappie?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search