舊版Plesk用戶注意！駭客釋出零時差漏洞攻擊程式碼

別名為king cope的駭客本周透過Full Disclosure郵件論壇釋出了自動化網路代管軟體Plesk的零時差漏洞攻擊程式碼。

由Parallels所發行的Parallels Plesk Panel屬於商業化的自動化網路代管軟體，伺服器管理人員可透過網頁介面進行各種設定，支援Windows伺服器平台以及多種Linux/Unix版本。目前最新的版本是在2012年6月發表的Parallels Plesk Panel 11.0。

cope宣稱該程式碼可成功攻擊多種Linux平台上的Plesk 8.6/9.0/9.2/9.3/9.5.4，包含紅帽、Fedora與CentOS，透過植入惡意的PHP程式，即能取得使用者權限並執行遠端程式。

外電引用Parallels的聲明表示，該攻擊套件鎖定的是舊版Plesk上已知漏洞的變種，較新的9.5/10.x/11.x與Parallels Plesk Automation並未含有該漏洞。

根據Parallels所公布的產品支援期限，於2008年12月發表的Plesk 9.x版的技術支援即將於今年6月9日到期，這代表Parallels不會再維護該版本，不過，思科安全研究人員Craig Williams指出，仍有不少網站仍然使用這些受影響的舊版Plesk。

Williams說，分析cope所釋出的攻擊程式，顯示它只是關閉了伺服器的安全模式與其他保護，並沒有執行太過惡意的功能，但他曾發現有人利用類似的漏洞來建立殭屍網路，他建議受到影響的網站最好關閉有漏洞的版本或是升級到新版。（編譯/陳曉莉）