Les attaquants semblent avoir compromis des dizaines de milliers de sites Web en utilisant une faille de sécurité dans les sites alimentés par le logiciel de forum vBulletinavertissent les experts en sécurité.
Outil d’attaque pour exploiter les forums vBulletin vulnérables.
Dans un article de blog fin août, vBulletin maker Gelée Marques Internet inc. a averti les utilisateurs que le fait de ne pas supprimer les répertoires « /install » et « /core/install » sur les sites exécutant les versions 4.x et 5.x du logiciel de forum pourrait les rendre facilement piratables. Mais apparemment, de nombreux sites basés sur vBulletin n’ont pas reçu ce mémo : selon la société de sécurité des sites Web Impervaplus de 35 000 sites ont récemment été piratés via cette vulnérabilité.
La faille de sécurité permet aux attaquants de découvrir rapidement quels forums sont vulnérables, puis d’utiliser des outils d’exploitation automatisés et open source pour ajouter des comptes d’administrateur aux sites vulnérables.
Imperva a déclaré que les sites compromis semblaient avoir été piratés par l’un des deux ensembles d’outils d’exploitation qui ont été rendus publics en ligne. Le premier a apparemment été utilisé dans une campagne de défiguration massive de sites Web. Une recherche Google pour les forums avec le compte administrateur au nom assez visible ajouté dans cette attaque (« Th3H4ck ») montre que de nombreux sites de piratage hébergent également des logiciels malveillants. Parmi les sites apparemment compromis, il y a un forum de support pour National Runaway Safeline et un site vendant des add-ons vBulletin.
Le deuxième outil fait effectivement la même chose, sauf avec un peu plus de furtivité : le compte administrateur qui est ajouté aux forums piratés est plus innocemment nommé « supportvb ». Voici une recherche Google qui offre une idée approximative des forums compromis par cet exploit, qui a apparemment été écrit ou du moins rendu public par ce type.
Amichaï Shulmandirecteur de la technologie d’Imperva, a déclaré que la société pensait que les attaquants utilisaient une sorte de botnet – une collection de PC piratés – pour aider Google à rechercher des sites compromis et à injecter le code malveillant.
« Pour infecter 30 000 cibles en si peu de temps, vous avez besoin de Google, mais le problème est que vous ne pouvez pas récupérer autant de résultats de recherche aussi facilement de manière automatisée. Google peut vous montrer qu’il y a 30 000 [vulnerable target sites]mais lorsque vous commencez à les parcourir tous, vous pouvez peut-être arriver à la page cinq ou six [before] vous recevez un message indiquant que votre machine effectue des requêtes automatisées, et elle commencera à vous montrer CAPTCHA”, défis pour bloquer les recherches automatisées. « Et si je répète ce comportement à partir de la même adresse Internet, je serai bloqué pendant un certain temps. »
Barry Shteimandirecteur de la stratégie de sécurité chez Imperva, a déclaré que la distribution des recherches via de nombreuses adresses Internet différentes résout ce problème.
« Ces gars peuvent demander à chaque partie de ce réseau distribué d’effectuer une recherche partielle qui renverrait une partie de l’ensemble des résultats », a déclaré Shteiman. « De cette façon, ils peuvent découper la liste en morceaux beaucoup plus petits qu’une seule machine peut ensuite explorer et gratter. »
Si vous utilisez un forum ou un site propulsé par vBulletin, prenez une minute pour vérifier si vous avez suivi les conseils de vBulletin et supprimé les dossiers « /install » et/ou « /core/install ». Si votre site vBulletin a toujours ces répertoires installés, vous pouvez également rechercher de nouveaux comptes d’administrateur.
J’ai suivi les gens de vBulletin et demandé si la société prévoyait d’automatiser la suppression de ces forums dans les futures mises à jour. Un membre de l’équipe de support de vBulletin a déclaré que la version 4.2.2 « résout le problème, mais nous recommandons toujours de supprimer le dossier d’installation ». La même personne a promis que le vBulletin v. 5.1.0, encore inédit, contiendra des correctifs supplémentaires non spécifiés, « mais vous devez toujours supprimer le dossier d’installation ».