L'éditeur de logiciels de virtualisation et d'automatisation Parallels veut savoir si les attaquants qui cherchent à pirater des serveurs d'hébergement web et infectent des sites avec des logiciels malveillants utilisent une vulnérabilité inconnue dans son produit Plesk Panel. Ce dernier est l'une des solutions d'administration les plus utilisées sur les serveurs d'hébergement web. Il offre aux utilisateurs une interface graphique qui permet d'effectuer facilement l'administration des serveurs et les tâches de gestion du site. Or, depuis la mi-juillet, des milliers de sites ont été infectés par un code malveillant qui utilise des techniques de génération de noms de domaine pour rendre les attaques plus persistantes. Les pirates à l'origine de cette campagne utilisent une récente version de la boîte à outils d'exploits Black Hole.

Les sites touchés s'appuient sur différentes technologies de conception, dont le HTML, PHP et ASP.NET et ils ont tous été accueillis sur différents types de serveurs web, comme Microsoft IIS, Apache et Litespeed, comme l'expliquait le 22 juin dans un blog le chercheur en sécurité indépendant Denis Sinegubko. Seul point commun : tous sont hébergés sur des serveurs qui utilisent Plesk comme panneau de gestion. « C'est une attaque très massive et elle est limitée aux serveurs Plesk », a déclaré le chercheur par mail avant le week-end. « Il y a donc certainement un rapport avec la sécurité de Plesk ». Les attaques sont actives et les témoignages des administrateurs de serveurs d'hébergement web dont les systèmes ont été touchés s'enchainent sur les forums du support technique de Parallels.

Une faille récente et une ancienne ?

Selon l'éditeur, ces piratages sont entièrement liés à la série d'attaques précédentes qui a exploité une vulnérabilité permettant l'injection de code SQL pour voler les mots de passe des administrateurs Plesk et ceux des clients. Cette vulnérabilité est désormais corrigée. « Nous pensons que les pirates ont récupéré les bases de données de Plesk. Ils ont interrompu leur activité pendant deux mois et demi environ pour tromper la vigilance des utilsateurs de Plesk », a déclaré un membre de l'équipe de Parallels sur le forum du support technique de l'entreprise. Selon lui, « l'attaque actuelle met à profit les bases de données Plesk dérobées».

Cependant, certains utilisateurs victimes des attaques pensent qu'une autre vulnérabilité est à l'origine du piratage de leurs serveurs, car ces menaces sont intervenues après la correction de l'ancienne faille et la réinitialisation de tous les mots de passe de Plesk. Par ailleurs, selon la rumeur, les cybercriminels vendraient, sur des forums undergrounds, une vulnérabilité jusqu'alors inconnue de Plesk Panel 10.4 et des versions antérieures. « Nous étudions actuellement cette nouvelle vulnérabilité signalée dans Plesk 10.4 et antérieures », a indiqué l'éditeur dans un avis de sécurité publié jeudi. « Pour l'instant, nous pouvons dire que ces affirmations ne sont pas fondées, et nous ne sommes pas en mesure de confirmer l'existence d'une autre vulnérabilité, ni de dire si celle-ci est limitée à un système d'exploitation en particulier».