[ad_1]

Une société de sécurité a révélé aujourd’hui que mysql.com, le référentiel central des logiciels de base de données Web largement utilisés, a été piraté et piégé pour servir les visiteurs avec des logiciels malveillants. La divulgation a attiré mon attention parce qu’il y a quelques jours à peine, j’ai vu la preuve que l’accès administratif à mysql.com était vendu dans le monde des hackers pour seulement 3 000 $.

Cabinet de sécurité web Armorize indiqué dans son blog que mysql.com a été empoisonné avec un script qui redirige de manière invisible les visiteurs vers un site Web qui utilise le pack d’exploit BlackHole, une boîte à outils d’exploit automatisée qui sonde les navigateurs visiteurs pour une variété de failles de sécurité connues.

« Il exploite la plate-forme de navigation du visiteur (le navigateur, les plugins du navigateur comme Adobe Flash, Adobe PDF, etc, Java, …) et, en cas d’exploitation réussie, installe de manière permanente un logiciel malveillant sur la machine du visiteur, à l’insu du visiteur  » disent les chercheurs. « Le visiteur n’a pas besoin de cliquer ou d’accepter quoi que ce soit ; simplement visiter mysql.com avec une plate-forme de navigation vulnérable entraînera une infection.

Une capture d’écran d’un hacker sur un forum russe exclusif sur la cybercriminalité vendant un accès root à mysql.com pour 3 000 $

À la fin de la semaine dernière, je me cachais sur un forum de hackers russe assez exclusif et je suis tombé sur un membre vendant un accès root à mysql.com. Dans le cadre de son argumentaire, qui a été publié sur le forum criminel le 21 septembre, le vendeur a attiré l’attention sur les statistiques quotidiennes et mensuelles du site et a publié des captures d’écran d’une invite de connexion racine dans le but de prouver ses marchandises.

Le vendeur, utilisant de manière inquiétante le surnom de « sourcec0de », souligne que mysql.com est un élément immobilier de choix pour quiconque cherche à implanter un kit d’exploit : il compte près de 12 millions de visiteurs par mois – près de 400 000 par jour – et est classé le 649ème site le plus visité par Alexa (Alexa l’évalue actuellement à 637).

Il a proposé de vendre l’accès à distance à la première personne qui lui aurait payé au moins 3 000 USD, via le service d’entiercement du site, qui garantit que les deux parties sont satisfaites de la transaction avant de débloquer les fonds.

L’ironie ultime de cette attaque est que le propriétaire de mysql.com est Oracle Corp.qui possède également Java, une suite logicielle que j’ai souvent conseillé aux lecteurs d’éviter en raison de ses nombreux problèmes de sécurité et de mise à jour. Comme je l’ai noté dans plusieurs articles de blog, les exploits Java sont les attaques les plus efficaces utilisées par les kits d’exploitation comme BlackHole : Actuellement, quatre des neuf exploits intégrés à BlackHole attaquent les vulnérabilités Java.

Bien sûr, la vente criminelle apparente de mysql.com et la compromission ultérieure du site pourraient n’être qu’une coïncidence. d’Armorize Wayne Huang a déclaré que l’infection avait été nettoyée peu de temps après que la société ait publié son article de blog. Huang a déclaré qu’il n’était pas clair depuis combien de temps mysql.com avait été compromis, mais qu’il semble que les scripts malveillants aient été injectés sur le site au cours des sept dernières heures. Si c’est exact, c’était assez de temps pour qu’environ 120 000 internautes parcourent le site et exposent leurs systèmes au kit d’exploitation.

« D’après notre expérience, le taux d’infection est généralement assez élevé pour ces infections de téléchargement en voiture », a déclaré Huang.

Armorize a publié une vidéo YouTube (ci-dessous) qui montre ce qui s’est passé lorsqu’un navigateur non corrigé a visité mysql.com pendant qu’il était infecté par l’exploit drive-by.

Mise à jour, 7 octobre, 00 h 30 HE : MySQL.com affiche désormais le message suivant, laissé le 4 octobre. 2011 et 28 septembre 2011. De plus, par prudence, nous conseillons aux titulaires de compte MySQL de changer ensuite les mots de passe de leur compte MySQL.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *