 |
|
|
| |
| SECURITE |
| Un scan automatique recherche les failles PHP des serveurs Web |
| Découvert par Bee Ware, un nouveau type de balayage répertorie les serveurs Web vulnérables pour y installer un cheval de Troie pouvant relayer des attaques en déni de service. Les hébergeurs sont visés.
(19/10/2004) |
|
Même si le nombre de sites touchés est pour le moment incertain, leur quantité est potentiellement grande car la faille découverte touche virtuellement tous les serveurs Web utilisant le langage PHP. L'hébergeur OVH a néanmoins déjà eu affaire à la technique le 29 septembre dernier, il a créé une section d'aide spécialement dédiée au sujet.
Un nouveau type de balayage (scan HTTP) de recherche de vulnérabilités vient en effet d'être découvert par l'éditeur Bee Ware. Il touche directement les serveurs Web et cherche à tirer profit d'une erreur courante de programmation dans les applications
Web.
"Cette faille dans la commande include de PHP n'est pas nouvelle et, jusqu'à présent, il s'agissait d'une technique manuelle pour les hackers. Ce qui est en revanche très nouveau est l'apparition d'un programme de scan automatique qui scrute tous les site Web PHP et teste leur configuration. Si les sites sont vulnérables, il y a installation d'un cheval de Troie", indique Eric Battistoni, directeur technique chez BeeWare.
La technique du scan est monnaie courante, elle sert généralement à détecter si un port est ouvert ou si la fonction TCP forwarding d'un serveur a été laissée activée par exemple, dans le but de se servir de la machine comme relais. Ici, le scan automatisé a lieu en environnement applicatif et implante sur les serveurs touchés un cheval de Troie "particulièrement bien fait" selon Eric Battistoni.
| Déni de service et prise en main distante |
"Le cheval de Troie permet à son créateur de paramétrer l'adresse IP sur laquelle il pourra diriger une attaque en déni de service. De plus, il permet de prendre la main à distance sur le poste", ajoute le directeur technique.
Etant donné qu'il ne s'agit pas d'un ver, il est difficile de savoir quelle est l'ampleur exacte du phénomène, notamment auprès des particuliers, mais les hébergeurs - particulièrement sensibles à la qualité des codes PHP
qu'ils hébergent - sont vulnérables à la faille (lire la page d'aide d'OVH).
"Les hébergeurs n'ont aucun contrôle sur la qualité des scripts PHP développés par leurs clients, le cheval de Troie pourrait ainsi prendre le contrôle de l'infrastructure. Le seul moyen serait de corriger tous les scripts hébergés, ce qui est mission impossible", conclut Eric Battistoni.
|
Le scan en bref
|
|
1) Recherche de port 80 ouvert
2) Recherche de /index.php
3) Ajout à cette requête d’une variable commune qui a de forte chance d’être utilisée sur cette page.
4) Si le site s'avère vulnérable, le code PHP installe une porte arrière
conçue pour réaliser un déni de service à base de longues requêtes
ICMP.
|
|
|
|
|
|
|
|
Dossier 
