Après l’immense fuite de données occasionnée par le piratage de Snapchat, voici une nouvelle frayeur pour cette nouvelle année. Un pirate Pakistanais utilisant le pseudo “H4x0r HuSsY” a compromis le forum officiel de openSUSE, une distribution Linux développée, parrainé et soutenue par SUSE.
Le pirate a réussi à défigurer le forum et à transférer sa page comportant un message personnalisé et en même temps, a faire main basse sur les informations de compte des 79 500 utilisateurs enregistrés.
Point important, le forum est basé sur le CMS vBulletin, tout comme le site MacRumors qui avait été lui aussi été compromis en novembre dernier à l’aide d’un exploit “zero-day”. Un autre fait intéressant est que openSUSE utilise encore vBulletin 4.2.1, qui est présenté comme vulnérable à l’injection de code malveillant. Considérant que la dernière patchée est vBulletin 5.0.5, le pirate a pu exploiter vBulletin 4.2.1 via une vulnérabilité pour accéder panneau d’administration du site.
Une copie de la page “defaced” est présente sur Zone-H. Quelques heures après, le pirate pakistanais a confirmé qu’il a réussi à uploader un Shell PHP sur le serveur du forum en utilisant une faille 0-Day privée visant vBulletin, accès qui lui a ensuite permis de naviguer, lire, écrire et supprimer n’importe quel fichier sur le serveur du forum, et ce, sans les privilèges root.
Il a également affirmé avoir l’accès complet à la base de données utilisateurs, mais il a promis de ne pas divulguer les données car le but du hack est seulement de mettre en évidence la faiblesse de la sécurité. Une autre revendication importante du pirate est à prendre en compte : d’après lui, la dernière version du CMS professionnel vBulletin 5.0.5 serait également vulnérable à son exploit zero-day et il n’y aurait pas encore de patch disponibles pour y remédier. Autant dire que cela est plutôt inquiétant…
En effet, il y a des milliers de forums qui utilisent le logiciel vBulletin et beaucoup d’entre eux sont énormes. Le pirate n’a cependant partagé aucune information concernant la vulnérabilité, espérons que l’équipe officielle vBulletin tiendra compte de cette menace critique.
L’équipe openSUSE a informé les utilisateurs via plusieurs tweets : “Attention: . Nos forums sont hors ligne car ils ont été piratés et défacés. Nous étudions actuellement ce qu’il s’est exactement passé.”
Mais ils ont aussi mentionné que “rassurez-vous, aucune information d’identification utilisateur ont été divulgués. Notez que nous utilisons SSO et que nous ne pensons pas avoir perdu les données des comptes. “
Après tweet de openSUSE, le pirate a partagé quelques captures d’écran de la base de données sur son compte Facebook pour prouver le piratage complet de la base de donnée.
Pour finir, dans un billet de blog publié le lendemain, l’équipe openSUSE a confirmé que leur site web ainsi que la base de données a été piraté, mais que les mots de passe des utilisateurs ne sont pas compromis. L’équipe a expliqué qu’ils utilisent une connexion unique sur le système (Access Manager de NetIQ) qui gèrent les vrais mots de passe. Les mots de passe pour votre connexion openSUSE ne sont donc pas enregistrées dans la base de données d’application dérobée par le pirate. Il s’agit d’un système à part qui n’a pas été compromis au cours de l’attaque. Au moins un point où l’équipe est d’accord avec le pirate !
Les commentaires sont fermés.