Selon Parallels, plusieurs scénarios peuvent expliquer pourquoi les versions corrigées plus anciennes peuvent être affectées par les récentes attaques. « Certains clients n'ont peut-être pas appliqué le patch au moment voulu, ou ils l'on fait, mais n'ont pas réussi à réinitialiser tous les mots de passe. Ou encore, ils ont appliqué le patch et ont réussi à réinitialiser tous les mots de passe, mais certains utilisateurs ont peut-être repris leurs anciens mots de passe », justifie Paralells. L'éditeur avait également informé les clients que, après application des correctifs et du changement de tous les mots de passe, ils devaient aussi supprimer certaines données des sessions actives de la base de données de Plesk.

La version 11 de Plesk Planel pas concernée

La version 11 de Plesk, sortie en juin, n'est pas concernée par l'ancienne vulnérabilité qui permettait une attaque par injection de code SQL. Elle ne stocke pas non plus les mots de passe en texte clair comme c'était le cas des versions précédentes. Cela signifie que, même si cette version 11 souffre d'une récente vulnérabilité, les attaquants ne peuvent pas l'utiliser pour voler les mots de passe clients de la bases de données de Plesk. Cependant, nombreux sont ceux qui utilisent encore les versions 10, 9 et même 8 de la console de gestion, parce que la mise à niveau n'est pas simple et pourrait compromettre la compatibilité avec d'autres logiciels tournant sur les serveurs concernés.

« Il semble que l'une des méthodes les plus fiables pour mettre un terme aux attaques actuelles soit de supprimer l'accès au gestionnaire de fichiers de Plesk. C'est lui que les attaquants utilisent pour insérer du code malveillant », a expliqué Denis Sinegubko. « Cependant, cette méthode ne bouche pas le trou de sécurité. Elle supprime juste une des portes d'entrée de l'attaque. Les pirates peuvent trouver une autre façon d'utiliser les mots de passe ». Selon le chercheur en sécurité, « on peut aussi imaginer que les pirates ont laissé passer du temps avant d'exploiter les mots de passe volés au cours des attaques précédentes, parce qu'ils voulaient savoir comment automatiser leurs prochaines offensives et vérifier que tout fonctionnait correctement ».