Krytyczna luka w API Pleska (wersje 9.x-10.3), pozwalająca na atak SQL Injection i uzyskanie administracyjnego dostępu do panelu, znana jest Parallelsowi przynajmniej od września zeszłego roku. Mimo to wciąż może stanowić poważny problem tak dla firm hostingowych, jak i ich klientów. Choć bowiem firma szybko wydała poprawkę naprawiającą API oraz webowy interfejs agents.php, to jednak w okresie, gdy panel administracyjny był podatny na atak, napastnicy mogli zrobić niemal wszystko – włącznie z podmianą skryptów na witrynach użytkowników czy modyfikacją zawartości baz danych.

Co gorsza, na wielu platformach hostingowych, możliwe było stworzenie konta FTP, do którego dostęp można było uzyskać przez SSH, a następnie stworzenie nowych kont użytkowników, z pełnym dostępem do systemu plików – i w konsekwencji całkowite przejęcie serwera. W ten właśnie sposób napastnikom z ruchu AntiSec udało się przejąć serwery firmy Media Temple, na których hostowano amerykańskie witryny rządowe, m.in. business.ftc.gov oraz (sic!) OnGuardOnline.gov.

Trudno powiedzieć, ile serwerów poza Media Temple zostało w ten sposób przejętych. Obawy co do prawdziwej skali ataku wzmaga jednak fakt, że o zagrożeniu długo wielu klientów Paralellsa nic nie wiedziało. Niektórzy twierdzą, że dostali e-maile, ostrzegające ich przez luką w Plesku dopiero 10 lutego tego roku. W tym e-mailu radzono im, aby pobrali łatki dla wersji 8, 9 i 10 oprogramowania, jeśli jeszcze tego nie zrobili. „Parallels został powiadomiony o podatności na SQL Injection w kilku starszych wersjach Pleska. Parallels traktuje bezpieczeństwo swoich klientów bardzo poważnie, i zachęca do szybkiego działania, przez zastosowanie tych łatek”. Potwierdza tę sytuację czas włamań na serwery Media Temple – doszło do nich po raz pierwszy 24 stycznia, a zanim Parallels wysłało swojego e-maila, przejęty mógł być już też drugi serwer.

Dla wielu dostawców zastosowanie łatki może być jednak bardzo kłopotliwe. Jak informuje menedżer produktu z Parallels, Tyra Blake, łatka wymaga zresetowania haseł wszystkich użytkowników. Blake przyznaje też, że ze względu na naturę podatności, napastnicy mogą utrzymać punkty wejścia do serwera nawet po tym, jak agents.php zostanie załatane. Dlatego też, jak informuje Ars Technica, wielu użytkowników Pleska zadaje sobie pytanie, czy łatki w ogóle są skuteczne w ochronie przed tym exploitem, szczególnie, jeśli już zostali zhakowani.

Członkowie inicjatywy AntiSec twierdzą tymczasem, że oprócz serwerów, z których korzystało FTC, mają dostęp do wielu innych rządowych witryn – czekają tylko na odpowiedni moment, by podmienić ich zawartość. Ile witryn zostało zaś przejętych w celach innych niż polityczne (np. do rozpowszechniania szkodliwego oprogramowania) – to można tylko zgadywać.

Specjaliści od bezpieczeństwa wskazują na jeszcze jeden problem z włamaniem – po prostu Media Temple nie spełniało wymogów, jakie stawiane są zwykle hosterom rządowych witryn. Co więcej, nie wiadomo, czy firma zdawała sobie sprawy, co hostuje. Mimo że otrzymywała płatności faktur bezpośrednio z FTC, to konto użytkownika znajdowało się w kategorii „kreatywne”, ponieważ witryny zostały zrobione na zamówienie FTC przez firmę Fleishman-Hilliard, która to sama wybrała hostera. Samo Media Temple wcześniej też twierdziło, że nie jest zainteresowane hostowaniem witryn .gov, ponieważ działają one na hakerów jak płachta na byka. Z drugiej jednak strony, w rozmowie z Dave Gardnerem z Fleishman-Hilliard, Media Temple utrzymywało, że hostuje rządowe witryny i jest zainteresowane takimi klientami. Jak było w rzeczywistości?

Sprawę obecnie bada FBI, zaś wszyscy hosterzy korzystający z Pleska mają spore problemy – czy ktoś nie przejął czasem już ich serwerów?

źródło: parallels.com, arstechnica.com, twitter.com