I servers di 1&1 compromessi per un bug nel software Confixx

I servers di alcuni clienti della compagnia di hosting 1&1 sono stati compromessi a causa di un bug nel software di gestione del server, Confixx Pro.
Andreas Maurer, addetto stampa di 1&1, ha informato che approssimativamente ben 30 servers sono stati sfruttati in maniera massiccia per lanciare attacchi di tipo DDoS (Distributed Denial of Service).
Ben 1700 clienti di 1&1 infatti stanno utilizzando il software di gestione prodotto da SWSoft.
Cosa altamente probabile è che i crackers abbiano modificato le pagine web degli utenti in maniera da poter iniettare codice malevole e infettare i pc dei navigatori, magari sfruttando i bug di Internet Explorer.
La potenziale minaccia però non riguarda solamente i clienti di 1&1 ma anche tutti coloro che hanno installato nel proprio server una versione vulnerabile di Confixx.

La causa del problema non è come si pensava all’inizio una vulnerabilità di tipo SQL-injection, ma bensì un RFI (Remote File Inclusion) che può essere sfruttato per inviare comandi alla shell.
Una descrizione del bug era stata resa pubblica già nella giornata del 24 luglio scorso e nonostante SWSoft abbia rilasciato un hotfix a riguardo, l’annuncio pubblico della falla è stato dato solo ora.
Le informazioni sul quale versioni sia vulnerabili sono contraddittorie.
SWSoft infatti nelle Release Notes afferma che le versioni dalla 2.0.12 alla 3.3.1 inclusa soffrono del problema, ma in realtà l’exploit funziona solo con quelle dalla 2.0.12 alla 2.0.14.
In ogni caso chi ha scoperto il bug sembra confermare che l’exploit dovrebbe funzionare con tutte le versioni fino alla 3.3.1.
Gli utenti dovrebbero quindi fare un check approfondito delle proprie impostazioni e installare l’hotfix rilasciato da SWSoft.
Le istruzioni dettagliate sono disponibili nelle Release Notes presenti sul loro sito.

LINKS: