Passer au contenu

Le Net sous la menace de deux failles Unix

Le CERT, organisme américain de sécurité informatique, craint de nouvelles attaques, par déni de service, contre des sites Web. Des centaines de serveurs Unix seraient déjà infectés par des “programmes dormants”.

Ce n’est pas une alerte rouge mais plutôt une mise en garde à destination des administrateurs de systèmes Unix. Dans une note publiée vendredi dernier, le CERT (Computer Emergency Response Team) révèle que des centaines de serveurs tournant sous Unix ont été investis par des pirates informatiques.L’organisme de sécurité a constaté que les machines infectées hébergeaient des outils permettant une attaque distribuée sur le réseau Internet. Le CERT craint donc de nouveaux incidents comme ceux de février dernier, où plusieurs sites de commerce électronique américains s’étaient retrouvés paralysés pendant plusieurs heures.

Les failles dans la sécurité connues de tous

Pour installer leurs outils d’attaque, les pirates utilisent principalement deux vulnérabilités affectant certains systèmes Unix et la plupart des distributions Linux.La première affecte le processus rpc.statd, qui transmet à la fonction système syslog des informations fournies par l’utilisateur. Pour accomplir cette tâche, rpc.statd utilise une chaîne formatée dans laquelle il est possible d’insérer du code machine. Ce code est ensuite exécuté avec les privilèges du processus rpc.statd, c’est-à-dire ceux de l’administrateur root du système.La seconde vulnérabilité vient du programme wu-ftpd, un service de transfert de fichiers utilisant le protocole FTP. Il s’agit une fois de plus d’un problème de formatage des chaînes de caractères en langage C. En utilisant la fonction site exec, un pirate peut gagner des privilèges d’administrateur.

De nouvelles attaques en prévision ?

Ces deux vulnérabilités permettent aux intrus d’exécuter, sur les systèmes de leurs victimes, des scripts qui installent leurs outils d’attaque. Le CERT relève ainsi que les pirates installent quasi systématiquement les programmes Tribe Flood Network (TFN), Tribe Flood Network 2000 (TFN2K) ou Stacheldraht. Ces programmes permettent aux pirates de prendre le contrôle d’un réseau de serveurs auxquels ils demanderont dattaquer un site Web. Ils ont été utilisés plusieurs fois avec succès contre des sites Internet comme Yahoo!, eBay, Amazon, etc.Le CERT engage vivement les administrateurs réseau à vérifier leur système et à télécharger les correctifs de sécurité pour se protéger des intrusions. A bon entendeur…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Antonin Billet