+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 963
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 963
    Points : 66 089
    Points
    66 089

    Par défaut Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal

    Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal,
    et y installer de faux ransomwares

    Des attaquants se sont servis d’une vulnérabilité sur Drupal, le système de gestion de contenu libre et open source, vieille de deux ans, pour installer un ransomware qui détourne la page d’accueil du site piraté, mais qui, contrairement à ses confrères, ne chiffre pas les fichiers.

    C’est sur un forum Drupal que l’opération a été repérée. L’utilisateur derrière le pseudonyme « reset91 » a indiqué le 23 mars dernier que son site web affiche « site web verrouillé. S’il vous plait veuillez transférer 1,4 Bitcoin à l’adresse 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9 pour en déverrouiller le contenu ». En faisant une recherche sur le moteur de Google avec cette adresse comme requête, il s’est avéré que plusieurs sites ont été affectés du même problème.

    Stu Gorton, le PDG et cofondateur de Forkbombus Labs, a fourni des informations indiquant que la première infection a été observée le 11 mars et que le rythme des infections s’est accéléré après le 18 mars.

    Comment l’infection se produit-elle ? Forkbombus Labs indique que les bots des pirates commencent par scanner les sites web à la recherche de /CHANGELOG.txt, un fichier spécifique au CMS Drupal, mais également à la recherche des fichiers /joomla.xml. Par la suite, les bots vont extraire la version Drupal du site et se servir de la faille répertoriée comme étant CVE-2014-3704 pour pénétrer les sites web et éventuellement modifier le mot de passe administrateur. Pour rappel, la faille CVE-2014-3704,qui affecte les versions 7.x de Drupal avant la version 7.32, désigne une vulnérabilité dans la fonction expandArguments qui permet à des attaquants de lancer des attaques par injection SQL.

    Une fois que les attaquants ont pris le contrôle du site après des injections SQL, des opérations automatisées mettent sur place une nouvelle page sur la version Drupal du site sur laquelle sera affiché un formulaire d’upload. Le bot se sert de cette page pour uploader différents scripts qui vont extraire des informations comme les adresses mails et les rendre disponibles sur le chemin /sites/default/files/ sous forme de fichiers téléchargeables. Le .htaccess sera effacé afin que les pirates puissent avoir accès à la page et y télécharger les fichiers.

    Par la suite, un binaire écrit dans le langage de programmation Go sera uploadé : le ransomware. Ce dernier va alors supprimer le formulaire d’upload et le remplacer par le message qu’a reçu l’utilisateur « reset91 ».

    « Il doit apparaître qu’il s’agit là d’un faux someware et non d’un véritable ransomware et rien n’est vraiment chiffré ou verrouillé », a expliqué Stu Gorton. Et de continuer en disant « ici, le contenu des nœuds disponibles a été remplacé par le nouveau message. Cependant, il semblerait que le bot ait quelques difficultés à remplacer les informations sur des nodes avec des formats atypiques, étant donné que, parmi les différents sites compromis que nous avons observés, plusieurs avaient une large portion de leurs données qui s’avéraient être intactes ». Il a également expliqué qu’il y avait une infrastructure C&C derrière cette attaque.

    Le blockchain utilisé pour la transaction n’enregistre à l’heure actuelle aucun versement. Toutefois, cette campagne met en exergue deux éléments. Le premier est la nécessité des mises à jour, dans la mesure où elles viennent colmater des failles de sécurité qui étaient exploitables par des pirates. Et le second est le fait que les ransomwares deviennent des logiciels malveillants vers lesquels se tournent de plus en plus de pirates, bien qu’il ne s’agisse là que d’une tentative qui a échoué.


    Source : blog Drupal, CVE-2014-3704, info sur le blockchain, Softpedia

    Voir aussi :

    le forum CMS (Drupal)

    Panama Papers : des versions vulnérables de WordPress et Drupal auraient-elles contribué à la plus grande fuite de données de l'histoire ?

    Drupal 8 est maintenant disponible en version stable, le CMS apporte plusieurs nouveautés avec cette dernière version
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    avril 2010
    Messages
    107
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : avril 2010
    Messages : 107
    Points : 239
    Points
    239

    Par défaut Petite précision

    J'aimerais juste ajouter deux petites notes à la chronique :

    Ce sujet remonte bien l'importance de l’administrateur système à faire des back-up réguliers. Et celui de l'administrateur du site à faire les Mise à jour de sécurité.

    Reset91 aurais pu s’éviter bien des peines.

  3. #3
    Membre éclairé
    Profil pro
    Inscrit en
    octobre 2002
    Messages
    681
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2002
    Messages : 681
    Points : 787
    Points
    787

    Par défaut

    Drupal est tellement compliqué, je plains le M. Tout Le Monde qui voudrais sécuriser son site sous Drupal ! :-O

  4. #4
    Membre habitué
    Homme Profil pro
    Inscrit en
    septembre 2005
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 56
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Secteur : Arts - Culture

    Informations forums :
    Inscription : septembre 2005
    Messages : 99
    Points : 153
    Points
    153

    Par défaut

    Ils ne filtrent pas les injections SQL au niveau du serveur (Apache, nginx) ?
    Je n'arrive pas à comprendre pourquoi, sur des serveurs dédiés, ce n'est pas le cas.

    N'ayant jamais utilisé IIS, je ne sais pas si c'est possible, mais sur mes serveurs, j'ai déporté une bonne partie de la gestion de la sécurité au niveau du logiciel serveur.

  5. #5
    Nouveau membre du Club
    Profil pro
    Inscrit en
    février 2008
    Messages
    32
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2008
    Messages : 32
    Points : 36
    Points
    36

    Par défaut

    @dasdeb : si tu filtre le SQL coté apache, a dieux phpmyadmin et tous les autres tools du genre. La sécurité doit commencer niveau php a mon avis, la règle est pourtant simple, never trust user input.

    (Dans les sources le lien vers CVE-2014-3704 est erroné)

  6. #6
    Membre éprouvé

    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2006
    Messages
    557
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant

    Informations forums :
    Inscription : janvier 2006
    Messages : 557
    Points : 1 094
    Points
    1 094

    Par défaut

    Drupal, j'ai jamais trop aimé ce "truc". Mais comme il est utilisé massivement, il est donc indispensable.
    "Rien ni personne décide de ta vie. Ton bonheur comme ton malheur, tu les dois à toi seul."

  7. #7
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    juillet 2005
    Messages
    28 275
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : juillet 2005
    Messages : 28 275
    Points : 42 035
    Points
    42 035

    Par défaut

    Ils ne filtrent pas les injections SQL au niveau du serveur (Apache, nginx) ?
    C'est qui "ils" ?
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  8. #8
    Membre chevronné

    Profil pro
    Inscrit en
    mai 2008
    Messages
    1 444
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2008
    Messages : 1 444
    Points : 2 215
    Points
    2 215

    Par défaut

    Citation Envoyé par GoustiFruit Voir le message
    Drupal est tellement compliqué, je plains le M. Tout Le Monde qui voudrais sécuriser son site sous Drupal ! :-O
    Drupal n'est pas pour M Tout Le Monde, en règle général. M Tout Le Monde utilise Wordpress qui est, comme on le sait, beaucoup plus sécurisé /s

  9. #9
    Membre chevronné

    Profil pro
    Inscrit en
    mai 2008
    Messages
    1 444
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2008
    Messages : 1 444
    Points : 2 215
    Points
    2 215

    Par défaut

    Citation Envoyé par dasdeb Voir le message
    Ils ne filtrent pas les injections SQL au niveau du serveur (Apache, nginx) ?
    Je n'arrive pas à comprendre pourquoi, sur des serveurs dédiés, ce n'est pas le cas.

    N'ayant jamais utilisé IIS, je ne sais pas si c'est possible, mais sur mes serveurs, j'ai déporté une bonne partie de la gestion de la sécurité au niveau du logiciel serveur.
    Tu peux utiliser un module comme modSecurity pour bloquer les tentatives d'injection SQL au niveau d'Apache, mais il faut savoir le régler sinon le serveur devient inutilisable (trop de faux positifs) ou ouvert aux quatres vents (liste blanche trop ouverte).

    Dans tous les cas, in fine c'est de la responsabilité de l'application, pas du serveur, qui est juste là pour bloquer les tentatives connues.

  10. #10
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    4 415
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 4 415
    Points : 8 340
    Points
    8 340

    Par défaut

    Citation Envoyé par Tsilefy Voir le message
    Drupal n'est pas pour M Tout Le Monde, en règle général. M Tout Le Monde utilise Wordpress qui est, comme on le sait, beaucoup plus sécurisé /s
    Les sites wordpress sont également très vulnérables dès que l'on ne fait pas les mises à jour. Peut-être le moteur lui-même est mieux sécurisé mais il faut compter aussi sur les modules externes. Enfin bref si on devait faire le compte des serveurs piratés faute à un cms, wordpress arriveraient sans problème en tête, non pas qu'il est plus ou moins bien sécurisé mais parce qu'il est tellement employé qu'il est une cible de choix, et il y a tellement de modules complémentaires qu'il est assez facile d'en trouver un qui a des failles de sécurité.

    Je dis cela au passage pour tempérer un peu ce que ton message laisse sous-entendre. Utiliser wordpress ne garanti rien du tout, les maj du système et des modules complémentaires sont absolument indispensables. C'est la rançon de l'open source.

  11. #11
    Membre chevronné

    Profil pro
    Inscrit en
    mai 2008
    Messages
    1 444
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2008
    Messages : 1 444
    Points : 2 215
    Points
    2 215

    Par défaut

    Citation Envoyé par ABCIWEB Voir le message
    Les sites wordpress sont également très vulnérables dès que l'on ne fait pas les mises à jour. Peut-être le moteur lui-même est mieux sécurisé mais il faut compter aussi sur les modules externes. Enfin bref si on devait faire le compte des serveurs piratés faute à un cms, wordpress arriveraient sans problème en tête, non pas qu'il est plus ou moins bien sécurisé mais parce qu'il est tellement employé qu'il est une cible de choix, et il y a tellement de modules complémentaires qu'il est assez facile d'en trouver un qui a des failles de sécurité.

    Je dis cela au passage pour tempérer un peu ce que ton message laisse sous-entendre. Utiliser wordpress ne garanti rien du tout, les maj du système et des modules complémentaires sont absolument indispensables. C'est la rançon de l'open source.

    J'ai mis /s à la fin pour signifier que c'était un sarcasme.

    Apparemment, ça n'est pas passé

    Bien sûr que Wordpress est infiniment plus vulnérable que Drupal.

Discussions similaires

  1. Réponses: 6
    Dernier message: 12/01/2014, 22h34
  2. Attaque par injection
    Par Khleo dans le forum Requêtes
    Réponses: 4
    Dernier message: 02/09/2010, 16h48
  3. Attaques par injection SQL
    Par Titi41 dans le forum ASP
    Réponses: 3
    Dernier message: 05/05/2010, 16h11
  4. Réponses: 1
    Dernier message: 07/10/2009, 23h15

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo