В открытом доступе опубликован рабочий эксплоит, позволяющий выполнить произвольный код на web-серверах, на которых установлена панель управления хостингом Plesk. Проблема проверена на системах с Plesk 8.6, 9.0, 9.2, 9.3 и 9.5.4, работающих под управлением Linux и FreeBSD (остальные системы не тестировались и возможно также являются уязвимыми). Уязвимость пока остаётся неисправленной. По предварительной оценке в Сети находится около 360 тысяч потенциально уязвимых серверов, на который установлена панель Plesk.

Уязвимость вызвана некорректной конфигурацией Apache, позволяющей напрямую обратиться к любому приложению, размещённому в директории /usr/bin. Представленный эксплоит демонстрирует обращение к CLI-версии установленного в системе интерпретатора PHP. Переопределив управляющие ограничениями настройки конфигурации PHP, открывается возможность выполнения произвольного внешнего PHP-скрипта с правами http-сервера Apache. Компания Parallels пока официально не отреагировала на уязвимость, для временной защиты разработчик эксплоита рекомендует удалить из конфигурации Apache устанавливаемую Plesk строку 'scrptAlias /phppath/ "/usr/bin/"', которая является источником проблемы.

Дополнение: Сообщается о выявлении следов построения ботнета, в котором для проникновения использована указанная проблема безопасности. Размещаемый после атаки управляющий код, а также скрипты для поражения новых систем, написаны на Perl и координируются через IRC-канал. В процессе изучения поведения ботнета (был получен доступ к управляющему серверу) было выявлено около 900 обращений к уязвимой версии Plesk, по предварительной оценке за час наблюдения было поражено примерно 40 новых серверов.

Источник: http://www.opennet.ru/opennews/art.shtml?num=37108