Zero-Day Exploit in Plesk Panel – HKN filtert Plesk Administrationszugriff

Aus verschiedenen Quellen ist uns zur Kenntnis gelangt, dass derzeit unter Cyberkriminellen ein Angriff auf  Plesk Server bis einschließlich Version 10.4.4 für kleines Geld gehandelt wird. Über diesen Angriff ist angeblich ein kompletter administrativer Zugriff auf die Plesk Verwaltung – und damit auf den gesamten Server – möglich.

Die erst kürzlich erschienene Plesk-Version 11 soll nicht betroffen sein, dies können wir allerdings nicht validieren. Da ein Update auf Plesk 11 so kurz nach Erscheinen unseres Erachtens nach nicht sinnvoll ist, reduzieren sich die Eingriffsmöglichkeiten.

Wir haben uns daher entschieden, bis zum Erscheinen eines Microupdates für diesen Bug durch Parallels den Plesk-Zugriff auf bei uns gehostete Systeme zu unterbinden. Dadurch ist zunächst kein Zugriff mehr auf die Plesk-Verwaltungsoberflächen möglich.

Was bedeutet das für Kunden mit HKN webZ-Paket?

Kunden, die ein WebZ Paket von HKN haben und Änderungen an ihren Webeinstellungen vornehmen müssen, bitten wir darum, unseren Support zu kontaktieren. Der Zugang zu Mails und den sonstigen Zimbra-Groupwarefunktionen ist hiervon nicht betroffen.

Kunden mit HKN Elk-vServer, HKN vServer oder Serverhousing und Servermiete

Wenn Du über eine statische IP-Adresse verfügst und auf Deinen Plesk Server zugreifen möchtest, schalten wir Deine IP gerne frei. Bitte eröffne dafür über https://service.hkn.de/ ein Ticket für den
jeweiligen Server. Die Abwicklung ist natürlich kostenfrei.

Kunden mit eigenem Rack, xDSL, Standleitung

Wir empfehlen eine entsprechende Firewallkonfiguration auf Deiner Seite, falls Du Plesk Systeme einsetzt.

Falls Du Rückfragen hierzu hast, stehen wir gerne zur Verfügung. Sobald Parallels hierfür Updates bereitgestellt hat, werden wir das mitteilen. Systeme die das HKN Servermanagement VCS nutzen werden durch uns mit den Microupdates versorgt. Wenn uns neue Informationen zu dieser Thematik verfügbar werden, teilen wir das hier mit.

Hier noch der Link zur Primärquelle:
http://krebsonsecurity.com/2012/07/plesk-0day-for-sale-as-thousands-of-sites-hacked/

Update – 12.07.2012

In einem auf der Website von Ray Krebs angezeigten Screenshot steht, dass der Plesk 0-day exploit nur für Windows verfügbar sei. Wir bleiben dennoch bei den getroffenen Maßnahmen, auch wenn der weitaus
überwiegende Teil der bei HKN laufenden Plesk Systeme unter Linux läuft.

Die Gründe dafür sind:

  • Wir wissen nicht, ob der Kriminelle die Windows und die Linux Version seines Exploits ggf. nur separat verkauft.
  • Parallels hat dazu noch kein Statement rausgegeben.

Update Freitag der 13. Juli 2012

Parallels hat ein Update zu dem 0-day Exploit für Plesk herausgegeben. Aktueller Sachstand ist, dass bislang kein Vorfall aufgetreten ist, der sich nicht auf bereits bekannte und gepatchte Bugs zurückführen liesse. Damit sehen wir als HKN die Notwendigkeit für eine globale Einschränkung des Plesk-Zugriffs nicht mehr gegeben.

Schreibe einen Kommentar