Une faille publiée le 15 octobre dernier a suscité une vague d’attaques quelques heures après sa publication. Et le problème est que l’application du correctif ne garantit pas que le site n’a pas déjà été piraté et une backdoor installée. Pire, les attaquants peuvent avoir « patché » eux-mêmes le site afin d’être les seuls à pouvoir en prendre le contrôle.

C’est un véritable casse-tête que soulève Graham Cluley dans les colonnes de PC World. En effet, l’expert en sécurité revient sur la publication par les équipes de Drupal d’une grosse vulnérabilité de type injection SQL publiée le 15 octobre dernier. Dans les heures qui ont suivi les attaques ont commencé, les pirates utilisant des outils de recherche pour identifier les sites Drupal 7 potentiellement infectables. Et comme chacun le sait : Drupal est un système de gestion de contenu particulièrement populaire et il fonctionne sur des centaines de milliers de sites de par le monde.

On se dit alors qu’il suffit d’appliquer un correctif pour se prémunir contre la vulnérabilité et le tour sera joué. Mais ce n’est pas si simple. En effet, l’application du correctif aujourd’hui ou dans les jours précédents ne signifie nullement qu’une backdoor n’a pas déjà été installée et que les pirates ne pourront pas continuer à piller impunément le contenu du site. Pire, il se peut que certains pirates particulièrement malins aient eux-mêmes appliqué le correctif, ien évidemment après avoir injecté leur malware. De fait, le site ne peut plus être compromis sauf par celui qui a effectué la manipulation. La conclusion est simple : si, comme Richard Virenque naguère, vous avez été patché à l’insu de votre plein gré, c’est que votre site a été piraté et qu’il contient une backdoor. Dans ce cas, il ne reste qu’une solution, réinstaller une version de sauvegarde antérieure au 15 octobre et appliquer le patch avant de remettre en ligne.

Une liste longue comme un jour sans pain

Parallèlement, les équipes de Drupal ont fourni un certain nombre de recommandations quant aux précautions à prendre et ces « recommandations » montrent que la faille est véritablement un trou béant. Ces conseils sont :

  • Mettre le site « offline » et le remplacer par une page HTML statique.
  • Notifier à l’administrateur du serveur que les autres sites ou applications figurant sur le même serveur peuvent avoir été compromis par une backdoor installée lors l’attaque initiale.
  • Obtenir un nouveau serveur, ou à défaut enlever tous les fichiers web et bases de données de ce serveur (à conserver pour analyse ultérieure).
  • Restaurer le site à partir d’une version antérieure au 15 octobre, appliquer le patch et remettre en ligne. Puis appliquer manuellement tous les changements opérés depuis le 15 octobre.
  • Auditer tout le code en le comparant avec l’ancien site en ligne pour déceler des changements de configuration de code, de fichiers afin de vérifier si une attaque a eu lieu.

A vos claviers …





Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI