Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 471
    Points
    32 471
    Par défaut Sécurité : un nouveau malware cible principalement les serveurs Tomcat
    Sécurité : un nouveau malware cible principalement les serveurs Tomcat
    les administrateurs sont invités à renforcer le niveau de sécurité

    Certains serveurs Apache Tomcat ont été récemment victimes d’un nouveau malware baptisé « Java.Tomdep », identifié pour la première fois par le cabinet de sécurité Symantec.

    Le nouveau malware a un comportement atypique. En effet, au lieu de cibler les ordinateurs des utilisateurs comme on s’y attendrait certainement, Java.Tomdep cible principalement les serveurs.

    Pour quel but ? Ce pourrait bien être un point de départ pour des attaques de types DDOS, selon Symantec. Rien n’est moins sûr.

    Concrètement, l’infection se propage à partir d’un serveur déjà sous le contrôle du malware. Le mode opératoire est simple : en essayant les combinaisons élémentaires de noms d’utilisateur et mots de passe faibles (admin:admin, tomcat:tomcat, root:root), le malware infecte les autres serveurs et le cycle recommence.


    Pour l’instant, le nombre de serveurs répertoriés n’est pas important. Cependant, rien n’exclut le fait qu’il soit plus significatif. En effet, la plupart des serveurs n’utilisent pas des solutions antivirus. « À notre connaissance, très peu de serveurs sont infectés par Java.Tomdep. Toutefois, les chiffres peuvent être réellement plus importants, puisque la plupart des serveurs n’utilisent pas de solutions antivirus. Espérons que le faible taux de victimes ne soit pas dû à cela. », peut-on lire sur la page officielle du projet.

    Comme contre mesure, Symantec recommande vivement d’appliquer les correctifs récents pour Tomcat, de mettre à jour les solutions antivirus, et surtout d’utiliser une combinaison de nom d’utilisateur et mot de passe fort pour les administrateurs.

    Source : Symantec

    Et vous ?

    Est-il concevable que des administrateurs utilisent des combinaisons de mots de passe et noms d'utilisateur aussi prévisibles ?

  2. #2
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 170
    Points
    2 170
    Par défaut
    En même temps, si on part du principe que le compte admin est protégé par un mot de passe très faible, presque n'importe quel système serveur est vulnérable. Ca tient plus du problème humain que de la vulnérabilité technique. En fait, je ne vois pas tellement en quoi appliquer les derniers correctifs à Tomcat va changer quoi que ce soit. Si on pouvait donner un conseil aux administrateurs, ça serait plutôt de mettre un mot de passe un peu costaud à toutes les machines accessibles reliées à Internet, y compris les serveurs de développement, de recette, etc.

  3. #3
    Membre expérimenté
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    729
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 729
    Points : 1 378
    Points
    1 378
    Par défaut
    Le virus ne fait certainement pas que tester les mot de passe, il va aussi exploiter les failles de sécurités facile. Et un mot de passe fort doit aussi exister au sein d'un réseau sécurisé. Il n'est souvent pas vraiment difficile de compromettre un réseau sécurisé grâce a un utilisateur... Si le réseau est sécurisé c'est pour ajouter une couche de protection pas seulement pour avoir une seul couche de sécurité.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  4. #4
    Membre confirmé Avatar de benratti
    Profil pro
    Inscrit en
    mai 2004
    Messages
    471
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : mai 2004
    Messages : 471
    Points : 648
    Points
    648
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    Pour l’instant, le nombre de serveurs répertoriés n’est pas important. Cependant, rien n’exclut le fait qu’il soit plus significatif. En effet, la plupart des serveurs n’utilisent pas des solutions antivirus. « À notre connaissance, très peu de serveurs sont infectés par Java.Tomdep. Toutefois, les chiffres peuvent être réellement plus importants, puisque la plupart des serveurs n’utilisent pas de solutions antivirus. Espérons que le faible taux de victimes ne soit pas dû à cela. », peut-on lire sur la page officielle du projet.
    Perso, je n'ai jamais vu de serveur tomcat en prod avec l'application manager déployé voir même exposé. Je pense que c'est plutot ça qui fait que peu de serveurs touchés par ce malware sont répertoriés...

    Ca me gène toujours le type de discours de Symantec ou autre éditeur de solution anti-virus... Leur job, c'est de vendre des licences d'anti-virus, donc quelle crédibilité peut on apporter à ce type de déclaration ? C'est un peu comme si prenait les paroles des commerciaux que je connais pour parole d'évangile.


    Citation Envoyé par Cedric Chevalier Voir le message
    Est-il concevable que des administrateurs utilisent des combinaisons de mots de passe et noms d'utilisateur aussi prévisibles ?
    oui, c'est du déjà vu en ce qui me concerne.

  5. #5
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 170
    Points
    2 170
    Par défaut
    Citation Envoyé par abriotde Voir le message
    Le virus ne fait certainement pas que tester les mot de passe, il va aussi exploiter les failles de sécurités facile. Et un mot de passe fort doit aussi exister au sein d'un réseau sécurisé. Il n'est souvent pas vraiment difficile de compromettre un réseau sécurisé grâce a un utilisateur... Si le réseau est sécurisé c'est pour ajouter une couche de protection pas seulement pour avoir une seul couche de sécurité.
    C'est quand même un peu de la spéculation, ça, "ne fait certainement pas que"...

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2006
    Messages
    21
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2006
    Messages : 21
    Points : 40
    Points
    40
    Par défaut
    Sur les dernières version de Tomcat, la webapp d'admin n'est plus déployée par défaut, ce qui tue dans l'oeuf cette brèche.
    Il faut quand même être un peu négligent pour être menacé. Soit apache httpd en frontal ne monte que les URIs des applis métiers, soit on supprime la webapp d'admin.
    Le mot de passe "fort" n'est en l'occurrence pas une vraie solution.

Discussions similaires

  1. NitlovePOS : un nouveau malware qui vise les points de vente
    Par Michael Guilloux dans le forum Sécurité
    Réponses: 1
    Dernier message: 26/05/2015, 22h53
  2. Réponses: 4
    Dernier message: 03/07/2013, 21h02
  3. Les serveurs du noyau Linux compromis par un malware
    Par Hinault Romaric dans le forum Linux
    Réponses: 13
    Dernier message: 11/09/2011, 19h12
  4. Réponses: 0
    Dernier message: 26/06/2009, 20h31
  5. Virtualiser les serveurs, est-ce un risque pour la sécurité des données ?
    Par Jean-Philippe Dubé dans le forum Actualités
    Réponses: 3
    Dernier message: 03/06/2009, 15h00

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo