A Trend Micro está rastreando uma exploração que
afeta algumas das versões mais antigas do Plesk, permitindo ao invasor
controlar completamente um servidor vulnerável. O Plesk é feito pela
Parallels e é um popular painel de controle de hospedagem web. Esta
vulnerabilidade representa um alto risco a todos os sites hospedados em
sistemas que usam versões mais antigas e sem suporte da plataforma.
Esta é uma vulnerabilidade de injeção de comando, que já está sendo explorada por códigos maliciosos. Na última semana, o kingcope relatou pela primeira vez o código de exploração desta vulnerabilidade na lista de discussão com uma vasta divulgação. Esta vulnerabilidade é facilmente explorada com o código já disponível e esse processo, sendo bem sucedido, pode levar ao completo comprometimento do sistema com privilégios de serviço da web. A vulnerabilidade é causada devido a erros de configuração no PHP do aplicativo afetado.
O código de exploração publicado invoca diretamente o interpretador de PHP com o argumento allow_url_include=on, safe_mode=off andsuhosin.simulation=on. O argumento allow_url_inlcude permite que qualquer script PHP seja inserido remotamente pelo atacante e o suhosin.simulation é usado para colocar o sistema em modo simulado, o que resulta em proteção reduzida.
Esta vulnerabilidade é diferente do CVE-2012-1823 porque o interpretador de PHP está sendo chamado diretamente. O autor esclarece isto conforme divulga o código do exploit. Curiosamente, o autor do código também fornece uma versão SSL da exploração. Ele afirma que esta façanha foi testada com sucesso em versões 8.6, 9.0, 9.2, 9.3 e 9.5.4 do Plesk.
O Kingcope observou também que este exploit não funciona com as versões mais recentes do Plesk. Como observado no incidente Ruby on Rails, nem todos atualizam seus servidores regularmente ou com a versão mais recente por razões variadas. Assim, poderemos ver sites baseados na plataformavsendo afetados por essa façanha em um futuro próximo.
Esta é uma vulnerabilidade de injeção de comando, que já está sendo explorada por códigos maliciosos. Na última semana, o kingcope relatou pela primeira vez o código de exploração desta vulnerabilidade na lista de discussão com uma vasta divulgação. Esta vulnerabilidade é facilmente explorada com o código já disponível e esse processo, sendo bem sucedido, pode levar ao completo comprometimento do sistema com privilégios de serviço da web. A vulnerabilidade é causada devido a erros de configuração no PHP do aplicativo afetado.
O código de exploração publicado invoca diretamente o interpretador de PHP com o argumento allow_url_include=on, safe_mode=off andsuhosin.simulation=on. O argumento allow_url_inlcude permite que qualquer script PHP seja inserido remotamente pelo atacante e o suhosin.simulation é usado para colocar o sistema em modo simulado, o que resulta em proteção reduzida.
Esta vulnerabilidade é diferente do CVE-2012-1823 porque o interpretador de PHP está sendo chamado diretamente. O autor esclarece isto conforme divulga o código do exploit. Curiosamente, o autor do código também fornece uma versão SSL da exploração. Ele afirma que esta façanha foi testada com sucesso em versões 8.6, 9.0, 9.2, 9.3 e 9.5.4 do Plesk.
O Kingcope observou também que este exploit não funciona com as versões mais recentes do Plesk. Como observado no incidente Ruby on Rails, nem todos atualizam seus servidores regularmente ou com a versão mais recente por razões variadas. Assim, poderemos ver sites baseados na plataformavsendo afetados por essa façanha em um futuro próximo.
Fonte: Risk Report
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.