VestaCP-hostingpaneel dicht lek dat werd misbruikt voor ddos-aanvallen

Het team achter de VestaCP-software heeft een patch uitgebracht voor een kwetsbaarheid die aanvallers gebruikten om ddos-aanvallen uit te voeren. Het lek zou te maken hebben met de authenticatiefunctie van de software.

Volgens het Vesta-team is de patch inmiddels beschikbaar in de vorm van versie 0.9.8-20. Het zou nog onduidelijk zijn hoe de exploit precies werkte, maar het team claimt dat het 'de authenticatiefunctie volledig heeft herschreven' en dat de kwetsbaarheid te maken had met een onveilige wachtwoordcheck. In een eerder bericht schreef het dat de eerste golf met aanvallen op 4 april plaatsvond en dat het om geautomatiseerde aanvallen ging. Vervolgens zouden aangevallen servers op 7 april zijn ingezet voor ddos-aanvallen.

Hostingprovider DigitalOcean heeft een pagina voor getroffen gebruikers in het leven geroepen, waarop het bedrijf schrijft dat het lek roottoegang verschafte. Als tegenmaatregel blokkeerde het bedrijf poort 8083, omdat dit de standaardpoort is voor loginverzoeken op VestaCP. Bovendien schakelde het de netwerkverbindingen uit op servers die de software draaien. Het raadt gebruikers aan om hun cron-taken na te gaan op kwaadaardige activiteit en om met antivirussoftware een scan uit te voeren naar malware.

Tijdens een eigen test zegt het dat installatie van VestaCP op Ubuntu 16.04 en 14.04 tot problemen leidde, omdat het Vesta-team de benodigde packages heeft teruggetrokken. Daarom zouden getroffen klanten niet zomaar een herinstallatie kunnen uitvoeren, maar moeten ze een migratie doen.

vestacp

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-04-2018 16:29
17 • submitter: Nutellaah

09-04-2018 • 16:29

17

Submitter: Nutellaah

Lees meer

Politie gaat twaalf ddos'ers aanhouden die gebruikmaakten van Webstresser.org
Politie gaat twaalf ddos'ers aanhouden die gebruikmaakten van Webstresser.org Nieuws van 17 mei 2018
MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet
MikroTik roept op oud lek te patchen dat wordt misbruikt door botnet Nieuws van 29 maart 2018
Aantal open memcached-servers daalt door Nederlandse en internationale inzet
Aantal open memcached-servers daalt door Nederlandse en internationale inzet Nieuws van 12 maart 2018
Netwerk en systeembeheer Hosting Security

Reacties (17)

-Moderatie-faq
17
17
15
4
1
0
Wijzig sortering
Hans van Eijsden 9 april 2018 16:57
Zojuist is - voor mij - nieuwe informatie naar voren gekomen, namelijk dat hun repositories gecompromitteerd zijn geraakt.

"There is new information. The only servers hacked, were servers where VestaCP was installed in the last few days. This means their repositories were hacked.
This explains why some people with a different port configured and/or the port blocked, were still hacked anyway."
Quote:
"yes thats how the hack is working. it is installed hidden and leaves no logs on the server. (via rep)
i have rkhunter, chkrootkit, clamav, iptables, fail2ban and aide.
none of them reacted so it was installed internally and got by every of the security mechanism.
i installed vesta about 10 days ago on this brand new fresh server.
its ssh secure by pubkey, no root login allowed
vesta webui forced to listen to my ip only (tested and working)
parent id of virus was 1 (systemd)
ALSO i get email on ssh logins. no mails were sent during this time.
and i guess thats why their rep is down now and you cant update currently"

Mijn bron: https://community.centmin...acp-servers-hacked.14469/
Nutellaah @Hans van Eijsden9 april 2018 16:59
Dat is ook de reden dat ze hun repositories hebben uitgeschakeld. Momenteel zijn nieuwe installaties van het hosting paneel Vestacp niet mogelijk.
tjebbeke @Hans van Eijsden9 april 2018 20:12
De repositories zijn niet gecompromitteerd geweest. De repos die niet beschikbaar waren komt door een fout in de release, deze problemen zouden ondertussen verholpen moeten zijn, we zijn er in ieder geval mee bezig.
Nutellaah 9 april 2018 16:42
Voor degenen die snel willen ingrijpen en niet aan hun admin paneel kunnen vanwege de blokkade op de standaard poort 8083 bij Digital Ocean:
1. Poort waar de admin op te bereiken is veranderen:
  • In de config/usr/local/vesta/nginx/conf/nginx.conf waar poort 8083 staat dit aanpassen naar vb. 8888
  • Via command v-add-firewall-rule ACCEPT 0.0.0.0/0 8888 deze poort toegang geven
  • v-update-firewall
  • service vesta restart
2. Ook heb ik zelf mijn vesta service gestopt tot ik deze avond meer tijd heb om het te bekijken:
service vesta stop of systemctl disable vesta

Voor wie wil weten of hij/zij gehackt is:
Kijk in de map /etc/cron.hourly voor een bestand gcc.sh.
Is dit aanwezig dan ben je slachtoffer van de hack.

Op de statuspagina van Digital Ocean kan je ook opvolgen wanneer de poort weer vrijgegeven wordt.

PS: wie twijfelt aan de veiligheid van VestaCP: hier een lijst met vulnerabilities (vrij weinig tegenover vb. het andere open source hostingpaneel Webmin).

[Reactie gewijzigd door Nutellaah op 24 juli 2024 05:01]

azerty @Nutellaah9 april 2018 18:35
Het vergelijken van de vulnerabilitycount is in elk geval geen goede statistiek om te zeggen dat het product "veilig" is. Als er simpelweg niemand omkijkt naar product A, en product B continu doorzocht word op lekken, is de kans natuurlijk veel groter dat product A er "beter" uitkomt dan product B.

Wat veel belangrijker is: worden de uitgebrachte lekken snel gepatched? Proberen de devs het aantal nieuwe lekken zo laag mogelijk te houden? Als dat in orde is, heb ik veel meer vertrouwen in de software dan puur op basis van het aantal CVE's...
Nutellaah @azerty9 april 2018 19:45
Klopt inderdaad. Bij VestaCP worden ze snel opgelost (meestal binnen 24 uur)

[Reactie gewijzigd door Nutellaah op 24 juli 2024 05:01]

Devaqto 9 april 2018 16:47
Comment van de dev over de patch: "It's bullet proof now!" :+

Daarnaast zijn dit soort uitbuitingen van kwetsbaarheden door system administrators te voorkomen door simpelweg toegang op managementpoorten alleen vanaf bepaalde IP-adressen toe te staan.

[Reactie gewijzigd door Devaqto op 24 juli 2024 05:01]

t link @Devaqto9 april 2018 17:09
Daarmee voorkom je geen kwetsbaarheid, daarmee compartimalizeer je hem.
Devaqto @t link9 april 2018 18:31
Dat bedoelde ik ook, heb het anders verwoord. Mooi woord btw :*)
t link @Devaqto9 april 2018 19:53
Haha, compartimalizatie is een heel belangrijk aspect van cybersecurity en ook de term die daarvoor gebruikt wordt dus vandaar dat ik het zo noemde ;) maar toch bedankt. compartimalizeren is ook bijvoorbeeld verschillende subnets en firewall regels opzetten voor je financieen afdeeling en je klant support afdeling. Die twee hoeven niet met elkaar te communiceren over het netwerk, door dat af te schermen voorkom je een snelle escalatie binnen je netwerk. een extra stap voor de indringen om te moeten overwinnen. Ook airgappen van legacy systemen die geen security updates meer krijgen is compartimalizeren.

[Reactie gewijzigd door t link op 24 juli 2024 05:01]

Djamon Staal @t link9 april 2018 18:38
Mooi woord.
mvd64 @Devaqto9 april 2018 20:34
Blijkbaar niet dus, als het binnengehengeld wordt via de repo van het pakket zelf.
Verwijderd 9 april 2018 19:35
als jij bij een ovh dedicated zit of souyoustart dedicated, worden aanvallen gefilterd dus niks aan de hand daar
C0okiejar @Verwijderd9 april 2018 19:52
Beetje naïef om daar blindelings vanuit te gaan vind je ook niet? Niemand zijn security is 100% on point.
DJMaze @Verwijderd9 april 2018 20:03
Andersom is anders. Mijn servers worden dagelijks aangevallen door OVH SAS en Hetzner servers.
Oftewel: e-mail die jij verstuurd komt bij mij er ook niet in.
Promotieverhaal van niks dus.

[Reactie gewijzigd door DJMaze op 24 juli 2024 05:01]

Verwijderd 9 april 2018 19:56
klopt zeker niks is 100% beveiligd al doet ovh hun stinkende best
Freekers @Verwijderd9 april 2018 19:58
Dat betekend niet dat je je Vesta installatie niet hoeft te patchen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq