Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

VestaCP-hostingpaneel dicht lek dat werd misbruikt voor ddos-aanvallen

Het team achter de VestaCP-software heeft een patch uitgebracht voor een kwetsbaarheid die aanvallers gebruikten om ddos-aanvallen uit te voeren. Het lek zou te maken hebben met de authenticatiefunctie van de software.

Volgens het Vesta-team is de patch inmiddels beschikbaar in de vorm van versie 0.9.8-20. Het zou nog onduidelijk zijn hoe de exploit precies werkte, maar het team claimt dat het 'de authenticatiefunctie volledig heeft herschreven' en dat de kwetsbaarheid te maken had met een onveilige wachtwoordcheck. In een eerder bericht schreef het dat de eerste golf met aanvallen op 4 april plaatsvond en dat het om geautomatiseerde aanvallen ging. Vervolgens zouden aangevallen servers op 7 april zijn ingezet voor ddos-aanvallen.

Hostingprovider DigitalOcean heeft een pagina voor getroffen gebruikers in het leven geroepen, waarop het bedrijf schrijft dat het lek roottoegang verschafte. Als tegenmaatregel blokkeerde het bedrijf poort 8083, omdat dit de standaardpoort is voor loginverzoeken op VestaCP. Bovendien schakelde het de netwerkverbindingen uit op servers die de software draaien. Het raadt gebruikers aan om hun cron-taken na te gaan op kwaadaardige activiteit en om met antivirussoftware een scan uit te voeren naar malware.

Tijdens een eigen test zegt het dat installatie van VestaCP op Ubuntu 16.04 en 14.04 tot problemen leidde, omdat het Vesta-team de benodigde packages heeft teruggetrokken. Daarom zouden getroffen klanten niet zomaar een herinstallatie kunnen uitvoeren, maar moeten ze een migratie doen.

Door Sander van Voorst

Nieuwsredacteur

09-04-2018 • 16:29

17 Linkedin Google+

Submitter: Nutellaah

Reacties (17)

Wijzig sortering
Zojuist is - voor mij - nieuwe informatie naar voren gekomen, namelijk dat hun repositories gecompromitteerd zijn geraakt.

"There is new information. The only servers hacked, were servers where VestaCP was installed in the last few days. This means their repositories were hacked.
This explains why some people with a different port configured and/or the port blocked, were still hacked anyway."
Quote:
"yes thats how the hack is working. it is installed hidden and leaves no logs on the server. (via rep)
i have rkhunter, chkrootkit, clamav, iptables, fail2ban and aide.
none of them reacted so it was installed internally and got by every of the security mechanism.
i installed vesta about 10 days ago on this brand new fresh server.
its ssh secure by pubkey, no root login allowed
vesta webui forced to listen to my ip only (tested and working)
parent id of virus was 1 (systemd)
ALSO i get email on ssh logins. no mails were sent during this time.
and i guess thats why their rep is down now and you cant update currently"

Mijn bron: https://community.centmin...acp-servers-hacked.14469/
Dat is ook de reden dat ze hun repositories hebben uitgeschakeld. Momenteel zijn nieuwe installaties van het hosting paneel Vestacp niet mogelijk.
De repositories zijn niet gecompromitteerd geweest. De repos die niet beschikbaar waren komt door een fout in de release, deze problemen zouden ondertussen verholpen moeten zijn, we zijn er in ieder geval mee bezig.
Voor degenen die snel willen ingrijpen en niet aan hun admin paneel kunnen vanwege de blokkade op de standaard poort 8083 bij Digital Ocean:
1. Poort waar de admin op te bereiken is veranderen:
  • In de config/usr/local/vesta/nginx/conf/nginx.conf waar poort 8083 staat dit aanpassen naar vb. 8888
  • Via command v-add-firewall-rule ACCEPT 0.0.0.0/0 8888 deze poort toegang geven
  • v-update-firewall
  • service vesta restart
2. Ook heb ik zelf mijn vesta service gestopt tot ik deze avond meer tijd heb om het te bekijken:
service vesta stop of systemctl disable vesta

Voor wie wil weten of hij/zij gehackt is:
Kijk in de map /etc/cron.hourly voor een bestand gcc.sh.
Is dit aanwezig dan ben je slachtoffer van de hack.

Op de statuspagina van Digital Ocean kan je ook opvolgen wanneer de poort weer vrijgegeven wordt.

PS: wie twijfelt aan de veiligheid van VestaCP: hier een lijst met vulnerabilities (vrij weinig tegenover vb. het andere open source hostingpaneel Webmin).

[Reactie gewijzigd door Nutellaah op 9 april 2018 16:55]

Het vergelijken van de vulnerabilitycount is in elk geval geen goede statistiek om te zeggen dat het product "veilig" is. Als er simpelweg niemand omkijkt naar product A, en product B continu doorzocht word op lekken, is de kans natuurlijk veel groter dat product A er "beter" uitkomt dan product B.

Wat veel belangrijker is: worden de uitgebrachte lekken snel gepatched? Proberen de devs het aantal nieuwe lekken zo laag mogelijk te houden? Als dat in orde is, heb ik veel meer vertrouwen in de software dan puur op basis van het aantal CVE's...
Klopt inderdaad. Bij VestaCP worden ze snel opgelost (meestal binnen 24 uur)

[Reactie gewijzigd door Nutellaah op 9 april 2018 22:48]

Comment van de dev over de patch: "It's bullet proof now!" :+

Daarnaast zijn dit soort uitbuitingen van kwetsbaarheden door system administrators te voorkomen door simpelweg toegang op managementpoorten alleen vanaf bepaalde IP-adressen toe te staan.

[Reactie gewijzigd door Karizma op 9 april 2018 18:32]

Daarmee voorkom je geen kwetsbaarheid, daarmee compartimalizeer je hem.
Dat bedoelde ik ook, heb het anders verwoord. Mooi woord btw :*)
Haha, compartimalizatie is een heel belangrijk aspect van cybersecurity en ook de term die daarvoor gebruikt wordt dus vandaar dat ik het zo noemde ;) maar toch bedankt. compartimalizeren is ook bijvoorbeeld verschillende subnets en firewall regels opzetten voor je financieen afdeeling en je klant support afdeling. Die twee hoeven niet met elkaar te communiceren over het netwerk, door dat af te schermen voorkom je een snelle escalatie binnen je netwerk. een extra stap voor de indringen om te moeten overwinnen. Ook airgappen van legacy systemen die geen security updates meer krijgen is compartimalizeren.

[Reactie gewijzigd door t link op 9 april 2018 19:56]

Blijkbaar niet dus, als het binnengehengeld wordt via de repo van het pakket zelf.
als jij bij een ovh dedicated zit of souyoustart dedicated, worden aanvallen gefilterd dus niks aan de hand daar
Beetje naef om daar blindelings vanuit te gaan vind je ook niet? Niemand zijn security is 100% on point.
Andersom is anders. Mijn servers worden dagelijks aangevallen door OVH SAS en Hetzner servers.
Oftewel: e-mail die jij verstuurd komt bij mij er ook niet in.
Promotieverhaal van niks dus.

[Reactie gewijzigd door DJMaze op 9 april 2018 20:04]

klopt zeker niks is 100% beveiligd al doet ovh hun stinkende best
Dat betekend niet dat je je Vesta installatie niet hoeft te patchen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True