Santy s’attaque aux forums Internet via Google et une faille dans PhpBB

La propagation du ver Santy.A est très rapide. Ce n’est pas un mass-mailer et il ne s’attaque pas aux utilisateurs mais aux sites Internet et plus particulièrement aux forums réalisés avec le code source ouvert PhpBB, soumis à une faille pourtant corrigée. L’attaque est basée sur une méthode originale : une requête spécifique sur le moteur de recherche Google donne en retour au ver une liste de sites fonctionnant sous « phpBB » et prêts à être exploités.

Santy envoie ensuite sur les sites sélectionnés une requête qui va provoquer l’exploitation de la faille et l’installation du ver. Une fois le site sous contrôle, Santy va scanner tous les répertoires du site infecté. Tous les fichiers .htm, .php, .asp, .shtm, .jsp, .phtm trouvés seront écrasés avec le texte suivant : « This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation 7 ». Ce nouveau virus-ver aurait déjà défiguré près de 40.000 sites web dans le monde. Sans toucher aux utilisateurs finaux qui surfent sur les sites contaminés, le ver pourrait infecter plus de six millions de forums phpBB existant sur le net. Kaspersky Lab recommande à tous les utilisateurs de « phpBB » de procéder à une mise à niveau jusqu’à la version 2.0.11. Encore une fois, la complexité de l’attaque n’est pas effrayante mais elle combine un exploit public, une faille récente et connue, ainsi que les fameux GoogleHacks. Imparable. Pour limiter l’attaque, on apprend ce mercredi que l’équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l’identification et la compromission de nouveaux serveurs. (*) pour Vulnerabilite.com