Virus: Mambo en a Mare.D !

Sécurité

Mare.D est le nom de baptême d’un ver qui, d’après F-Secure, sévirait
actuellement sur la toile en exploitant deux vulnérabilités. L’une
affecte le CMS (Content Management System) Mambo et l’autre la librairie PHP XML-RPC. Pourtant, les équipes de Mambo affirment que la
vulnérabilité qui les incrimine est corrigée depuis fort longtemps

Habitué aux effets d’annonces, F-Secure diffuse régulièrement de l’information à travers le « Blog » de son laboratoire de recherche en virologie. Comme souvent, la presse non spécialisée se fait l’écho des trouvailles glorifiantes de l’éditeur. Fin février, c’est Mambo et PHP qui s’y collent. En effet, selon cet éditeur, le CMS ‘Open Source’ et la librairie PHP XML-RPC sont pris pour cible par un ver baptisé Mare.D qui exploite leurs vulnérabilités respectives.

C’est ainsi que commence l’histoire banale d’un ver qui exploite une nouvelle faille affectant un applicatif Web open source. Seulement voilà, les développeurs de Mambo ne le voient pas de cet oeil. Et pour cause, la faille en question est corrigée depuis plus d’un an ! Martin Brampton, l’un des développeurs de Mambo explique: “Les bulletins d’alerte des deux vulnérabilités datent respectivement du 29 juin 2005 et du 21 février 2005. Les deux produits (Mambo et XML-RPC) ont depuis été corrigés.” Et d’ajouter: “C’est peut-être un ‘hoax’ [canular]. Quelle qu’en soit la raison, quelqu’un n’a pas su faire la différence entre les années 2005 et 2006”. Effectivement, le ver Mare.D, qui n’a, pour l’instant, été détecté que par le laboratoire de F-Secure, exploiterait une vulnérabilité corrigée depuis le 21 novembre 2005. Le ver utilise d’ailleurs un ‘exploit’ connu pour cette faille. Il n’y a donc aucune nouveauté dans cette “révélation” qui cause aujourd’hui plus de tort à l’image de Mambo qu’à ses utilisateurs. Interrogé par nos confrères de Silicon.com, Simon Perry, Senior VP Security Strategy chez CA explique: “Il ne me paraît pas intéressant de mettre en avant un vecteur de contamination qui date de plus d’un an et qui est généralement corrigé sur les systèmes en production.” Alors, pourquoi diffuser l’information ? Ce qui est intéressant, c’est de publier une information ‘sexy’ qui contient dans son seul titre des mots magiques aux yeux des glaneurs d’infos tels que ‘vers’, ‘php’, ‘open source’. De quoi entretenir l’attention des médias, à l’approche d’un week-end…. Finalement, ce non-événement aura eu un mérite: celui de réveiller les fantasmes (fondés) des utilisateurs effrayés par les malwares qui s’attaquent aux applications web et à l’open source. D’ailleurs, de quoi parlons-nous en ce moment? C’est bien la preuve que ce genre de communication fonctionne !


Lire la biographie de l´auteur  Masquer la biographie de l´auteur