Une vulnérabilité logicielle chez un fournisseur d’hébergement Web basé aux États-Unis a permis aux pirates d’ajouter secrètement des dizaines de pages Web à des sites militaires, éducatifs, financiers et gouvernementaux dans le but de promouvoir des pharmacies en ligne malveillantes.
Pendant quatre mois en 2010, un client de Hostmonster.com, un fournisseur d’hébergement basé à Provo, dans l’Utah, a exploité un bogue dans CPanel, un outil d’administration de site Web utilisé par Hostmonster et une majorité d’autres fournisseurs d’hébergement. Le client a utilisé la vulnérabilité pour créer près de quatre douzaines de sous-domaines sur un certain nombre d’autres sites Web de l’installation d’hébergement, a déclaré Danny Ashworthco-fondateur de Bluehost.comla société mère de Hostmonster.
Les sous-domaines étaient liés à des dizaines de pages créées pour détourner les classements des moteurs de recherche des sites et pour rediriger les visiteurs vers des magasins en ligne de nuit vendant des médicaments sur ordonnance sans ordonnance. Parmi les domaines compromis figuraient :
Omaha, Neb. institution financière Accessbank.com;
banquier.coml’unique expert-comptable enquêteur du Comité sénatorial américain des eaux vives ;
Ejercito.mil.dole site officiel de l’Armée de la République Dominicaine ;
Sacmetrofire.ca.govle district d’incendie métropolitain de Sacramento ;
Wi.eduL’Institut Wright.
Ashworth a déclaré que tous les faux sous-domaines ont été créés entre le 2 avril 2010 et le 1er juillet 2010. Mais ils y sont restés jusqu’à ce que la société soit contactée par un journaliste la semaine dernière.
« Nous avons ajouté et modifié certaines mesures de sécurité en juillet pour un autre problème que nous avons trouvé et qui a également corrigé le bogue CPanel qui a permis à cet exploit de se produire, [and] bien qu’il n’ait pas permis la création/modification d’enregistrements supplémentaires, il n’a pas supprimé les entrées qui existaient », a écrit Ashworth dans un e-mail.
Malheureusement, ce type de jeu sur les moteurs de recherche est assez courant et passe souvent inaperçu pendant des mois par les propriétaires de sites. Les experts disent que les responsables ont tendance à s’en prendre aux domaines .edu, .gov et .mil, car ces domaines reçoivent généralement plus d’autorité des moteurs de recherche.
Cette attaque montre que les webmasters et les sociétés d’hébergement Web doivent rester vigilants quant à la mise à jour des logiciels et à la surveillance des contenus non autorisés. Le blog Unmask Parasites a quelques bons conseils sur ces deux fronts dans une publication qui met en évidence une variante récente et persistante de l’attaque Hostmonster.