21 Mai 2012
Les thèmes d'actualité
- Archivage et sauvegarde
- Banque, assurance, finance
- BI, décisionnel, SIG
- Bureautique et infographie
- Calcul scientifique
- Document, connaissances, GED
- Emploi informatique
- Finances, gestion, trésorerie
- Gestion commerciale, CRM
- Hardware
- Législation
- Licences, open source
- Localisation, traçabilité
- Locaux, sécurité physique
- Mobilité
- Politique informatique
- Production, logistique, SCM
- Programmation, développement
- Qualité, certification, référentiels
- Réseaux et communications
- Santé
- Secteur public
- Sécurité logique, virus et intrusions
- Site Internet
- Solutions globales, ERP
- Solutions RH
- Stockage, SAN, NAS
- Systèmes et infrastructure
Attaque de masse sur les serveurs Internet PHP
Octobre 2004
Depuis quelques jours, une nouvelle attaque sévit sur Internet. Les témoignages et appels à l'aide de victimes se multiplient dans les différents forums de discussions, et certains hébergeurs reconnaissent également avoir subi des Dénis de Service.
Bee Ware a identifié une attaque de forme nouvelle : " MASS_SCAN_PHP " qui présente une dangerosité très forte parce qu'invisible de la quasi-totalité des systèmes de sécurité existants. Elle diffère des attaques habituelles. Tout d'abord elle vise les serveurs Web c'est-à-dire accessibles via HTTP : Le port 80 est ouvert sur tous les Firewalls. De plus MASS_SCAN_PHP ne tire pas profit d'une vulnérabilité système comme c'était le cas traditionnellement, mais exploite une mauvaise programmation de script PHP, rendant possible la modification de l'argument de la fonction include, par une variable passée en URL, permettant de préciser un site distant où cette fonction ira chercher, par exemple, la librairie à utiliser. En d'autres termes TOUS les serveurs Internet utilisant la technologie PHP, c'est-à-dire la technologie la plus répandue aujourd'hui, sont des victimes potentielles.
Nicolas Dirand, Directeur R&D de Bee Ware, explique ainsi le comportement : " L'attaque commence par un simple Scan, visant à détecter les ports 80 ouverts et à tester la présence d'un script index.php. Les sites trouvés et dont la programmation et la configuration PHP n'ont pas été assez sécurisées, sont infestés d'une Back Door conçue à la fois pour transformer le serveur victime en relais d'une future attaque massive par Dénis de Service (DDoS) et pour permettre l'exécution de commandes distantes. Il s'agit d'une attaque ciblée, un scan très agressif dirigé à partir d'une source limitée. Transformer cette attaque en un véritable Worm doté de capacité d'auto propagation, n'est plus qu'un petit pas à franchir, et techniquement pas le plus difficile."
Les premières victimes confirment leur désarrois face à ce nouveau type d'attaque. Au premier rang les hébergeurs de sites : les systèmes de sécurité actuels sont inefficaces et leur seule alternative consiste à demander à tous leurs clients de vérifier leurs scripts, sous peine de voir leur infrastructure impactée…
Interrogé sur les moyens de contrer cette nouvelle attaque, Nicolas Dirand explique l'approche qui a guidé la conception d'Intelliwall : " Ces attaques, manipulant l'utilisation de paramètres, resteront par essence inconnues. Les listes blanches ou noires (White List / Black List) comme les technologies de pattern matching montrent ici leurs limites. Intelliwall utilise une approche différente. La technologie intelligente du réseau de neurones nous a permis de lui apprendre notre connaissance de l'utilisation, licite et illicite, des langages Web, php étant l'un d'eux. Ce langage, connu pour être riche et facile, demande à être très surveillé dans certains cas : les options permettant l'exécution d'un script distant sont des éléments qui attirent l'attention d'Intelliwall. Nous parlons ici d'analyse comportementale. Alors quand, dans le même temps, l'un des paramètres passés représente un couple adresse ip et port, c'est en quelque sorte l'indice qui devient preuve. Voilà pourquoi cette attaque, même nouvelle aujourd'hui, est depuis longtemps bloquée par Intelliwall, que les applications soit corrigées ou non."
L'environnement applicatif démontre une nouvelle fois, du fait de ses particularités et de sa diversité, l'incapacité des systèmes traditionnels à le protéger. Plus que cela même, il se présente comme un point hautement vulnérable permettant le détournement complet d'une infrastructure. Cette dernière actualité illustre la nécessité de sécuriser non seulement l'accès mais le fonctionnement même des applications.
Bee Ware a identifié une attaque de forme nouvelle : " MASS_SCAN_PHP " qui présente une dangerosité très forte parce qu'invisible de la quasi-totalité des systèmes de sécurité existants. Elle diffère des attaques habituelles. Tout d'abord elle vise les serveurs Web c'est-à-dire accessibles via HTTP : Le port 80 est ouvert sur tous les Firewalls. De plus MASS_SCAN_PHP ne tire pas profit d'une vulnérabilité système comme c'était le cas traditionnellement, mais exploite une mauvaise programmation de script PHP, rendant possible la modification de l'argument de la fonction include, par une variable passée en URL, permettant de préciser un site distant où cette fonction ira chercher, par exemple, la librairie à utiliser. En d'autres termes TOUS les serveurs Internet utilisant la technologie PHP, c'est-à-dire la technologie la plus répandue aujourd'hui, sont des victimes potentielles.
Nicolas Dirand, Directeur R&D de Bee Ware, explique ainsi le comportement : " L'attaque commence par un simple Scan, visant à détecter les ports 80 ouverts et à tester la présence d'un script index.php. Les sites trouvés et dont la programmation et la configuration PHP n'ont pas été assez sécurisées, sont infestés d'une Back Door conçue à la fois pour transformer le serveur victime en relais d'une future attaque massive par Dénis de Service (DDoS) et pour permettre l'exécution de commandes distantes. Il s'agit d'une attaque ciblée, un scan très agressif dirigé à partir d'une source limitée. Transformer cette attaque en un véritable Worm doté de capacité d'auto propagation, n'est plus qu'un petit pas à franchir, et techniquement pas le plus difficile."
Les premières victimes confirment leur désarrois face à ce nouveau type d'attaque. Au premier rang les hébergeurs de sites : les systèmes de sécurité actuels sont inefficaces et leur seule alternative consiste à demander à tous leurs clients de vérifier leurs scripts, sous peine de voir leur infrastructure impactée…
Interrogé sur les moyens de contrer cette nouvelle attaque, Nicolas Dirand explique l'approche qui a guidé la conception d'Intelliwall : " Ces attaques, manipulant l'utilisation de paramètres, resteront par essence inconnues. Les listes blanches ou noires (White List / Black List) comme les technologies de pattern matching montrent ici leurs limites. Intelliwall utilise une approche différente. La technologie intelligente du réseau de neurones nous a permis de lui apprendre notre connaissance de l'utilisation, licite et illicite, des langages Web, php étant l'un d'eux. Ce langage, connu pour être riche et facile, demande à être très surveillé dans certains cas : les options permettant l'exécution d'un script distant sont des éléments qui attirent l'attention d'Intelliwall. Nous parlons ici d'analyse comportementale. Alors quand, dans le même temps, l'un des paramètres passés représente un couple adresse ip et port, c'est en quelque sorte l'indice qui devient preuve. Voilà pourquoi cette attaque, même nouvelle aujourd'hui, est depuis longtemps bloquée par Intelliwall, que les applications soit corrigées ou non."
L'environnement applicatif démontre une nouvelle fois, du fait de ses particularités et de sa diversité, l'incapacité des systèmes traditionnels à le protéger. Plus que cela même, il se présente comme un point hautement vulnérable permettant le détournement complet d'une infrastructure. Cette dernière actualité illustre la nécessité de sécuriser non seulement l'accès mais le fonctionnement même des applications.
Pour aller plus loin
Sélection d'actualités
Forum
Vous voulez avoir l'avis d'un expert sur ce sujet ?
Gouvernance
Document, connaissances, GEDEmploi informatique
Législation
Licences, open source
Politique informatique
Qualité, certification, référentiels
Solutions
BI, décisionnel, SIGBureautique et infographie
Finances, gestion, trésorerie
Gestion commerciale, CRM
Mobilité
Production, logistique, SCM
Solutions globales, ERP
Solutions RH
Technologies
Archivage et sauvegardeHardware
Localisation, traçabilité
Locaux, sécurité physique
Programmation, développement
Réseaux et communications
Sécurité logique, virus et intrusions
Site Internet
Stockage, SAN, NAS
Systèmes et infrastructure
Editorial
ActualitésAgenda
Annuaire
Blogs
Contributeurs
Dictionnaire
Dossiers
Emploi
Forum
Lettre
Libraire