Une importante faille de sécurité publiée le 15 octobre dernier a suscité une vague massive d’attaques quelques heures après sa publication. Aujourd’hui, les administrateurs se battent tant bien que mal pour sécuriser leurs sites.
Le problème est que l’application du correctif ne garantit pas que le site n’a pas déjà été piraté et qu’un backdoor n’est été installé discrètement sur le système. Pire, les attaquants peuvent avoir « patché » eux-mêmes le site afin d’être les seuls à pouvoir en prendre le contrôle (cela se fait beaucoup sur les Joomla! faillible lorsqu’une faille 0-Day est diffusée, ndlr).
TOUS les sites Drupal 7 sont potentiellement touchés ! L’alerte officielle est très claire sur ce point, étant donné le nombre d’attaques automatisées ciblées qui ont été détectées ces derniers jours.
C’est un véritable casse-tête que soulève Graham Cluley dans les colonnes de PC World. En effet, l’expert en sécurité revient sur la publication par les équipes de Drupal d’une vulnérabilité critique de type injection SQL publiée le 15 octobre dernier. Dans les heures qui ont suivi, les attaques massives ont commencé, les pirates utilisant des outils de recherche automatisés pour identifier les sites Drupal 7 potentiellement vulnérables. Le problème est amplifier quand on sait que Drupal est un CMS particulièrement populaire sur le Web et fait tourner des centaines de milliers de sites de par le monde.
Malgré la publication d’un patch correctif, cela ne garanti pas au webmaster que le site n’a pas déjà été victime d’un pirate et qu’un backdoor ne soit déjà implanté dans le système. Pire encore, il est possible que le pirate n’ait lui-même corrigé le site afin de garder l’accès pour son usage personnel sans qu’un autre ne soit capable de ré-éxploiter la faille. L’information a aussi été relayée par Sucuri sur leur blog.
La conclusion est simple : si, comme Richard Virenque naguère, votre site a été patché à l’insu de votre plein gré, c’est qu’il a été piraté et qu’il contient une backdoor. Dans ce cas, il ne reste qu’une solution, réinstaller une version de sauvegarde antérieure au 15 octobre et appliquer le patch avant de remettre en ligne.
Parallèlement, les équipes de Drupal ont fourni un certain nombre de recommandations quant aux précautions à prendre et ces « recommandations » montrent que la faille est véritablement un trou béant. Ces conseils sont :
- Mettre le site « offline » et le remplacer par une page HTML statique.
- Notifier à l’administrateur du serveur que les autres sites ou applications figurant sur le même serveur peuvent avoir été compromis par une backdoor installée lors l’attaque initiale.
- Obtenir un nouveau serveur, ou à défaut enlever tous les fichiers web et bases de données de ce serveur (à conserver pour analyse ultérieure).
- Restaurer le site à partir d’une version antérieure au 15 octobre, appliquer le patch et remettre en ligne. Puis appliquer manuellement tous les changements opérés depuis le 15 octobre.
- Auditer tout le code en le comparant avec l’ancien site en ligne pour déceler des changements de configuration de code, de fichiers afin de vérifier si une attaque a eu lieu.
Quoi qu’il en soit, la mise à jour vers Drupal 7.32 corrige la vulnérabilité.
Source : Mag Securs
Les commentaires sont fermés.