Web barındırma ve veri merkezi sağlayıcıları için Plesk çok sevilen bir yönetim aracıdır. Web arayüzü, genellikle kullanıcılar tarafından dosya sunucularını ve web sitelerini yönetmek için kullanılır. Bu arayüz kapsamlı testlerden geçmiştir ve güvenlik kusurları için düzeltilmiştir.
Fortbridge’de bir güvenlik uzmanı olan Adrian Tiron’un bulgularına göre, diğer uygulamalara Plesk’in yeteneklerine erişim sağlayan REST API, çevrimiçi kullanıcı arayüzü eşdeğeri kadar güvenli değil.
Bir yönetici oturum açtığında ve tarayıcılarından REST API’sini çağırdığında CSRF koruması olmadığını buldu. Bu kusur nedeniyle, bir saldırgan, Plesk yöneticisini kötü amaçlı bir web sitesini ziyaret etmeye ikna etmeyi başarırsa, sunucuya karşı çerezsiz CSRF saldırıları başlatabilir. Çerezsiz CSRF güvenlik açığı, birkaç API uç noktasını hedeflemek için kullanılabilir. Tiron’a göre, yöneticinin parolasını değiştirmek de dahil olmak üzere çeşitli talimatlara izin veren son nokta en ilgi çekici olanıydı. Araştırmacı, yönetici kullanıcı hesabını başarıyla devraldı ve bu URL’yi kullanarak ana bilgisayarın tüm kontrolünü ele geçirdi.
Yetkilendirme başlığı, yönetim aracının sayfalarına yetkisiz erişime karşı koruma sağlamak için Plesk’in web arayüzü tarafından kullanılır.
Tarayıcı, bir kullanıcı kimlik bilgilerini girdikten sonra isteklere gerekli başlıkları otomatik olarak ekleyerek sunucunun yetkili kullanıcılar arasında tanımlama yapmasına olanak tanır.
Ayrıca, yetkilendirme üstbilgileri, REST API uç noktalarına rastgele, güvenilmeyen erişimi durdurdu. Ancak HTML tabanlı CSRF saldırıları, tüm bunların üstesinden gelme yeteneğine sahiptir.
Darbe
Plesk 17.8’den itibaren, bir saldırgan komut çalıştırabilir ve/veya yönetici parolasını değiştirmek de dahil olmak üzere ayarları değiştirebilir.
Plesk sunucularının %98,4’ü eklentiyi hemen güncelledi ve etkilenmedi.
Aşağıdaki düzeltmeler teslim edildi:
5 Temmuz 2022’de, Plesk 18.0.26 ve sonraki sürümleri için
Plesk 17.8.10 – 18.0.25 sürümleri için 26 Eylül 2022’nin sonlarında.
Bilgi güvenliği uzmanı, şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışmaktadır.
Risk ve kontrol süreci, güvenlik denetim desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.