Faille sur les serveurs Apache

Le vers Linux/Cdorked.A ouvre une porte dérobée affectant des milliers de sites Web sous Apache.

Datasecuritybreach.fr a été alerté par les chercheurs d’ESET et leurs homologues de la société Sucuri, après la découverte d’une faille dans les serveurs Apache. D’après l’analyse que Data Security Breach a pu consulter, une nouvelle menace pese sur les serveurs Web Apache. Pour rappel, Apache est le serveur web le plus connu et le plus utilisé dans le monde. La menace est une porte dérobée très complexe et furtive utilisée pour générer du trafic vers des sites malveillants hébergeant des packs d’exploits Blackhole. Les chercheurs ont nommé cette porte dérobée, Linux/Cdorked.A et considèrent qu’il s’agit de la backdoor Apache la plus sophistiqué repérée jusqu’alors. Des centaines de serveurs Web ont été attaqués.

« La porte dérobée Linux/Cdorked.A ne laisse pas de traces sur le disque dur autre que  la modification d’un fichier « httpd », un processus démon utilisé par Apache. Toutes les informations relatives à cette backdoor sont stockées dans la mémoire partagée sur le serveur, ce qui rend difficile la détection et entrave son analyse, » explique à DataSecurityBreach.fr Pierre-Marc Bureau, expert en sécurité chez ESET.

En outre, le code Linux/Cdorked.A prend d’autres formes pour éviter la détection, à la fois sur le serveur Web compromis et sur les navigateurs des visiteurs. « La configuration du backdoor est envoyée par l’attaquant en utilisant des requêtes HTTP qui ne sont pas seulement masquées, mais qui ne sont pas non plus enregistrées par Apache, ce qui réduit la probabilité de détection par les outils de surveillance conventionnels. La configuration est stockée dans la mémoire, ce qui signifie qu’aucune information de commande et de contrôle pour la backdoor n’est visible, ce qui rend complexe l’investigation, » ajoute à data Security Breach Righard Zwienenberg, chercheur principal chez ESET.

Très populaire et répandu, le kit d’exploit Blackhole utilise de nouvelles failles dites « Zéro day » qui permettent de prendre le contrôle d’un système lorsque l’internaute visite un site qui est infecté par le kit Blackhole. Lorsqu’une personne visite un serveur web compromis, il n’est pas simplement redirigé vers un site Web malveillant ; un cookie Web est installé dans le navigateur de sorte que le code backdoor ne l’y renvoie pas une seconde fois. Le cookie web n’est pas installé dans les pages de l’administrateur : le code malveillant vérifie l’origine du visiteur et, si ce dernier est redirigé vers la page Web à partir d’une adresse URL qui a certains mots clés, tels que  « admin » ou « cPanel », aucun contenu malveillant n’est servi.

Les administrateurs système sont invités à contrôler dès que possible leurs serveurs et à vérifier qu’ils ne sont pas confrontés à cette menace. Un outil de détection gratuit comprenant des instructions détaillées sur la façon de vérifier la présence de cette backdoor et une analyse technique complète du code Linux/Cdorked.A sont disponibles sur le site WeLiveSecurity.com. D’autres informations sur le code Linux/Cdorked.A sont également disponibles à l’adresse de Sucuri blog

Une réflexion sur « Faille sur les serveurs Apache »

Les commentaires sont fermés.