Опубликован эксплоит, позволяющий выполнить произвольный код на серверах с панелью управления Plesk (обновлено)

В среду, 5 июня, в открытом доступе был опубликован эксплоит, который позволяет выполнить произвольный код на web-серверах с панелью управления хостингом Plesk. Стоит отметить, что в общей сложности в сети находится около 360 тысяч таких серверов, которые могут стать мишенями для злоумышленников.

Данная проблема затрагивает системы с панелями Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающие под управлением Linux и FreeBSD. Кроме того, возможно, что уязвимыми являются также и остальные системы, однако сведения на это счет пока отсутствуют.

Брешь вызвана некорректной конфигурацией кроссплатформенного ПО Apache, которая позволяет напрямую обратиться к любому приложению в директории /usr/bin. Данный эксплоит обращается к CLI-версии установленного в системе интерпретатора PHP и переопределяет управляющие ограничениями настройки его конфигурации, после чего возможно выполнение произвольного внешнего PHP-скрипта с правами http-сервера Apache.

(Обновление) После публикации данной новости представитель компании Parallels, которая занимается разработкой платформы Plesk, прислал собстенный комментарий :

Речь не идет о нахождении какой-то новой уязвимости. Речь идет об использовании нового сценария для старой «дыры», обнаруженной еще год назад и паразитирующей на хорошо известной уязвимости PHP-CGI (CVE-2012-1823). Единственное отличие от вредоносного кода из CVE-2012-1823 в том, что этот код инициирует запуск PHP-интерпретатора в режиме CGI с помощью директивы scriptAlias, определенной из Plesk, а не вызовом PHP-скрипта на сайте с PHP в режиме CGI.

Еще год назад компания Parallels мгновенно опубликовала рекомендации по устранению этой уязвимости http://kb.parallels.com/en/113818 пользователям устаревших версий Parallels Plesk Panel . Сегодня как и год назад для решения данной проблемы пользователям  Parallels Plesk Panel старых версий панели управления рекомендуется  обновиться на новые версии этого продукта. 

Существующий сценарий затронул 4% процента клиентской базы компании, использующих старые версии продукта. 96% клиентов компании используют на своих серверах версии панели Parallels Plesk Panel, которые не могут быть подвержены этой уязвимости.

Если пользователь до сих пор использует Parallels Plesk Panel 9.0-9.2, ему предлагается обновиться, используя следующие рекомендации http://kb.parallels.com/116241
Пользователи legacyпродуктов равно как и старых версий операционных систем по сути являются добровольными заложниками подобных ситуаций, где самый очевидный путь для их предотвращения – обновление программного обеспечения и операционных систем.

Полная информация об этой ситуации и шаги, которые необходимо совершить пользователям старых версий Parallels Plesk Panel, изложена в блоге компании Parallels http://blogs.parallels.com/serviceprovider/2013/6/7/variation-of-previously-reported-vulnerability-in-older-vers.html