Root-Server bei 1&1 durch Lücke in Management-Software Confixx geknackt [Update]
Bei 1&1 wurden mehrere Root-Server von Kunden für DDoS-Attacken missbraucht. Möglicherweise wurden auch Webseiten mit Schädlingen versucht. Ein Update für Confixx steht zur Verfügung.
- Daniel Bachfeld
Durch eine Sicherheitslücke in der Servermanagement-Software Confixx Pro sind Angreifer in mehrere Root-Server von 1&1-Kunden eingedrungen. Laut Andreas Maurer, Pressesprecher bei 1&1, wurden ungefähr 30 Server für DDoS-Attacken missbraucht. Insgesamt setzen bis zu 1700 Kunden bei 1&1 noch auf die Managementsoftware von SWSoft. Möglicherweise haben die Eindringlinge zusätzlich die Webseiten der Kunden manipuliert, um etwa über Lücken im Internet Explorer Schadcode auf die Rechner von Besuchern zu schleusen. Betroffene Kunden sollten ihre Seiten daraufhin untersuchen.
Ursache des Problems ist keine SQL-Injection-Lücke wie zwischenzeitlich vermutet wurde, sondern eine Remote-File-Inclusion, die sich zum Übergeben eigener Befehle an die Shell missbrauchen lässt. Eine Beschreibung des Fehlers durch den Entdecker ist offenbar seit dem 24. Juli öffentlich verfügbar. SWSoft hat zwar einen Hotfix zur Verfügung gestellt, bislang aber noch nicht öffentlich auf die Lücke hingewiesen. Etwas widersprüchlich sind die Angaben darüber, welche Versionen verwundbar sind. SWSoft schreibt in seinen Release Notes, dass die Versionen von 2.0.12 bis einschließlich 3.3.1 betroffen sind, der Fehler soll sich aber nur von 2.0.12 bis 2.0.14 ausnutzen lassen. Laut Fehlerbericht des Entdeckers soll der Exploit aber bei allen Versionen bis 3.3.1 funktionieren.
Anwender sollten umgehend ihre Konfiguration prüfen und den Hotfix von SWSoft installieren. Eine genaue Anleitung ist den Release Notes zu entnehmen. 1&1 weist daraufhin, dass Confixx vom Hersteller SWSoft und von 1&1 nicht mehr voll unterstützt wird. Laut Mitteilung an betroffene Kunden bietet der Webhoster "für aufkommenden Übertraffic, der durch Hacks dieser veralteten und oftmals lückenhaften Systeme entsteht" sowie "für rechtliche Probleme durch illegale Aktivitäten, die über den Server vorgenommen wurden", keine Kulanzleistungen mehr. Kunden wird daher empfohlen, kostenlos auf die Managementsoftware Plesk zu wechseln. Dazu muss man sich in der Online-Konfiguration unter "Server-Initialisierung" für eine der passenden Systemkonfigurationen entscheiden.
Update
Die Lücke in Confixx betrifft grundsätzlich alle Anwender, die die Software einsetzen, also nicht nur 1&1-Kunden.
Siehe dazu auch:
- Confixx <= PRO 3.3.1 Remote File Inclusion Vulnerability, Fehlerbericht von H4 / XPK
- Confixx Pro security hotfix, Release Notes von SWSoft
(dab)
