Publican un exploit de ejecución de código remoto de día cero para las viejas versiones de Plesk
El exploit tiene como objetivo una vulnerabilidad que solo afecta a las versiones de Plesk sin soporte, según explica el creador del software.
Un hacker ha lanzado lo que denomina un exploit de zero-day para versiones antiguas de Parallels Plesk Panel, un popular software de administración de hosting Web, que podría permitir a los atacantes inyectar código PHP arbitrario y ejecutar comandos falsos en los servidores web.
El hacker, que emplea el alias “Kingcope” y ha publicado anteriormente exploits para vulnerabilidades sin parchear, reveló el nuevo código exploit para Plesk en la lista de correos Full Disclosure el pasado miércoles.
Asegura Kingcope que el exploit fue probado con éxito contra Plesk 9.5.4, Plesk 9.3, Plesk 9.2, Plesk 9.0 y Plesk 8.6 en combinación con el software de servidor web Apache en distribuciones de 32 y 64-bit, incluyendo Red Hat, CentOS y Fedora. Sin embargo, Parallels asegura que Plesk 9.5 y las versiones posteriores no están afectadas por el exploit.
“Esta vulnerabilidad es una variación de la brecha CVE-2012-1823, ya conocida y relacionada con el modo CGI de PHP solo para antiguas versiones de Plesk”, explicó Paralells el jueves en un email. “Todas las versiones actualmente soportadas de Parallels Plesk Panel 9.5, 10.x y 11.x, así como Parallels Plesk Automation, no son vulnerables”.
Según una página de la compañía, la versión 8 del product no tiene soporte desde septiembre 2012 y el de la versión 9 termina este mismo domingo.
Incluso si las últimas versiones del software no se ven afectadas, es probable que se dé una explotación extendida de esta vulnerabilidad porque los servidores que ejecutan las versiones antiguas y afectadas de Plesk no se mantienen de forma regular, apuntaba Craig Williams, investigador de Cisco en un blog el pasado miércoles.
Williams analizó el código de ataque revelado por Kingcope y dijo que “el script explota las versiones vulnerables del panel de control de Plesk inyectando código PHP malicioso, permitiendo que los hackers ejecuten comandos arbitrarios con los privilegios del ID de usuario del servidor Apache”.
Un comando ejecutado por el exploit contiene diversos argumentos cuyo objetivo es deshabilitar los mecanismos de seguridad que deberían existir en el servidor, añade. Estos incluyen el argumento “allow_url_include=on", que permite al atacante incluir código PHP arbitrario, y "safe_mode=off". Como paso final, Suhosin, un parche de PHP, se pone en modo simulación.
Si un cliente utiliza una versión heredada y sin soporte de Parallels Plesk Panel, debería actualizarse a la última versión, advierten desde Parallels. La compañía ya ha proporcionado una solución alternativa para la vulnerabilidad CVE-2012-1823 para las versiones legacy de Plesk.
