Angeblicher Zero-Day-Exploit für Plesk

Der Hacker mit dem Pseudonym KingCope hat auf der Security-Mailingliste Full Discloure offenbar einen Zero-Day-Exploit für die Hosting-Software Parallels Plesk veröffentlicht. Seinen Angaben zufolge erlaubt der Exploit das Einschleusen von PHP-Befehlen durch speziell präparierte HTTP-Anfragen. Er will den Exploit erfolgreich an Plesk 9.5.4, 9.3, 9.2, 9.0, 8.6 unter RedHat, CentOS und Fedora getestet haben. Version 11.0.9 sei hingegen nicht betroffen

Der Hacker hat anscheinend einen Weg gefunden, den PHP-Interpreter über einen POST-Request mit beliebigen Konfigurationsparametern zu starten und zur Ausführung beliebiger Befehle zu überreden. Den Interpreter samt Parametern (etwa "safe_mode=off") ruft der Exploit über die angefragte URL auf, der auszuführende PHP-Code steckt im Datenteil. Im access_log tauchen die Requests des Exploits wie folgt auf:

POST /%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%
6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%
62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%
3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 200 203 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

Laut KingCope zündet der Exploit nur, wenn Plesk wie folgt konfiguriert wurde: scriptAlias /phppath/ "/usr/bin/". Unklar ist derzeit noch, ob dieser Zustand eher die Regel oder die Ausnahme ist. Letzteres behauptet "David H", der eine ausführliche Antwort bei Full Disclosure veröffentlicht hat. KingCope muss man durchaus ernst nehmen: Er ist in der Security-Szene berüchtigt und veröffentlicht immer wieder handfeste Zero-Day-Exploits (rei)