В Сети обнаружен ботнет, состоящий из более 900 веб-серверов. По сообщению блога об информационной безопасности grok.org, для его построения была использована найденная на днях уязвимость в панели управления хостингом Plesk, которую разрабатывает компания Parallels.

Автор публикации, обнаруживший ботнет, сообщил, что за время наблюдения он распространялся со скоростью около 40 серверов в час.

Отметим, что работоспособный эксплойт, использующий уязвимость в популярной панели управления хостингом Parallels Plesk, был опубликован в Сети 5 июня 2013 г. пользователем Kingcope. Эксплойт позволяет удаленно выполнять произвольный код на веб-серверах.

По сообщению издания Arstechnica, работоспособность эксплойта уже подтверждена на веб-серверах, с установленными панелями Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающими под управлением Linux и FreeBSD. Исполняемость эксплойта на ОС Windows и других системах не тестировалась, и, как указывает издание, возможно, они также являются уязвимыми.

Дыра в безопасности вызвана некорректной конфигурацией кроссплатформенного веб-сервера Apache, которая позволяет напрямую обратиться к любому приложению в директории /usr/bin, где содержатся чувствительные программы, в том числе обеспечивающие работу веб-страниц и баз данных.

Уязвимость, которую сам автор эксплойта, скрывающийся под псевдонимом Kingcope, относит к высоко опасным, пока остается не закрытой. По оценке издания, в Сети находится около 360 тыс. серверов, на которые установлена панель Plesk, и на которых может быть исполнен эксплойт.

Ситуацию с закрытием уязвимости усложняет тот факт, что 8 версия Plesk не поддерживается разработчиком с 1 сентября 2012 г., а прекращение поддержки 9 версии намечено на 9 июня 2013 г.

Компания Parallels, разработчик панели Plesk, пока не ответила на вопрос CNews о своих планах по закрытию уязвимости.

Можно вспомнить, что нынешняя уязвимость — не первая из найденных в панели Parallels Plesk. Так, в феврале 2012 г. была описана проблема, затрагивающая версии Plesk с 7.6.1 по 10.3.1.

Тогда проникновению в веб-сервера вредоносного ПО способствовала дыра в веб-интерфейсе файлового менеджера, входящего в состав панели. Компания Parallels в 2012 г. оперативно отреагировала на ситуацию, выпустив обновления для Plesk.