L'éditeur de logiciels de virtualisation et d'automatisation Parallels veut savoir si les attaquants qui cherchent à pirater des serveurs d'hébergement web et infectent des sites avec des logiciels malveillants utilisent une vulnérabilité inconnue dans son produit Plesk Panel. Ce dernier est l'une des solutions d'administration les plus utilisées sur les serveurs d'hébergement web. Il offre aux utilisateurs une interface graphique qui permet d'effectuer facilement l'administration des serveurs et les tâches de gestion du site. Or, depuis la mi-juillet, des milliers de sites ont été infectés par un code malveillant qui utilise des techniques de génération de noms de domaine pour rendre les attaques plus persistantes. Les pirates à l'origine de cette campagne utilisent une récente version de la boîte à outils d'exploits Black Hole.

Les sites touchés s'appuient sur différentes technologies de conception, dont le HTML, PHP et ASP.NET et ils ont tous été accueillis sur différents types de serveurs web, comme Microsoft IIS, Apache et Litespeed, comme l'expliquait le 22 juin dans un blog le chercheur en sécurité indépendant Denis Sinegubko. Seul point commun : tous sont hébergés sur des serveurs qui utilisent Plesk comme panneau de gestion. « C'est une attaque très massive et elle est limitée aux serveurs Plesk », a déclaré le chercheur par mail avant le week-end. « Il y a donc certainement un rapport avec la sécurité de Plesk ». Les attaques sont actives et les témoignages des administrateurs de serveurs d'hébergement web dont les systèmes ont été touchés s'enchainent sur les forums du support technique de Parallels.

Une faille récente et une ancienne ?

Selon l'éditeur, ces piratages sont entièrement liés à la série d'attaques précédentes qui a exploité une vulnérabilité permettant l'injection de code SQL pour voler les mots de passe des administrateurs Plesk et ceux des clients. Cette vulnérabilité est désormais corrigée. « Nous pensons que les pirates ont récupéré les bases de données de Plesk. Ils ont interrompu leur activité pendant deux mois et demi environ pour tromper la vigilance des utilsateurs de Plesk », a déclaré un membre de l'équipe de Parallels sur le forum du support technique de l'entreprise. Selon lui, « l'attaque actuelle met à profit les bases de données Plesk dérobées».

Cependant, certains utilisateurs victimes des attaques pensent qu'une autre vulnérabilité est à l'origine du piratage de leurs serveurs, car ces menaces sont intervenues après la correction de l'ancienne faille et la réinitialisation de tous les mots de passe de Plesk. Par ailleurs, selon la rumeur, les cybercriminels vendraient, sur des forums undergrounds, une vulnérabilité jusqu'alors inconnue de Plesk Panel 10.4 et des versions antérieures. « Nous étudions actuellement cette nouvelle vulnérabilité signalée dans Plesk 10.4 et antérieures », a indiqué l'éditeur dans un avis de sécurité publié jeudi. « Pour l'instant, nous pouvons dire que ces affirmations ne sont pas fondées, et nous ne sommes pas en mesure de confirmer l'existence d'une autre vulnérabilité, ni de dire si celle-ci est limitée à un système d'exploitation en particulier».

[[page]]

Selon Parallels, plusieurs scénarios peuvent expliquer pourquoi les versions corrigées plus anciennes peuvent être affectées par les récentes attaques. « Certains clients n'ont peut-être pas appliqué le patch au moment voulu, ou ils l'on fait, mais n'ont pas réussi à réinitialiser tous les mots de passe. Ou encore, ils ont appliqué le patch et ont réussi à réinitialiser tous les mots de passe, mais certains utilisateurs ont peut-être repris leurs anciens mots de passe », justifie Paralells. L'éditeur avait également informé les clients que, après application des correctifs et du changement de tous les mots de passe, ils devaient aussi supprimer certaines données des sessions actives de la base de données de Plesk.

La version 11 de Plesk Planel pas concernée

La version 11 de Plesk, sortie en juin, n'est pas concernée par l'ancienne vulnérabilité qui permettait une attaque par injection de code SQL. Elle ne stocke pas non plus les mots de passe en texte clair comme c'était le cas des versions précédentes. Cela signifie que, même si cette version 11 souffre d'une récente vulnérabilité, les attaquants ne peuvent pas l'utiliser pour voler les mots de passe clients de la bases de données de Plesk. Cependant, nombreux sont ceux qui utilisent encore les versions 10, 9 et même 8 de la console de gestion, parce que la mise à niveau n'est pas simple et pourrait compromettre la compatibilité avec d'autres logiciels tournant sur les serveurs concernés.

« Il semble que l'une des méthodes les plus fiables pour mettre un terme aux attaques actuelles soit de supprimer l'accès au gestionnaire de fichiers de Plesk. C'est lui que les attaquants utilisent pour insérer du code malveillant », a expliqué Denis Sinegubko. « Cependant, cette méthode ne bouche pas le trou de sécurité. Elle supprime juste une des portes d'entrée de l'attaque. Les pirates peuvent trouver une autre façon d'utiliser les mots de passe ». Selon le chercheur en sécurité, « on peut aussi imaginer que les pirates ont laissé passer du temps avant d'exploiter les mots de passe volés au cours des attaques précédentes, parce qu'ils voulaient savoir comment automatiser leurs prochaines offensives et vérifier que tout fonctionnait correctement ».