Bulletin hebdomadaire du CERT Renater

Durant la semaine du 23/02/07 au 01/03/07, 3 cas de compromission a été porté à notre attention.
Au total, 1664403 adresses IP ont été scannées par 11014 sources distinctes.

Compromissions de la semaine
————————–

Trois modifications de sites web sont a signaler cette semaine.
Deux sont toujours en cours d’analyse quand a la troisième, l’attaque a portée sur une ancienne faille du forum phpbb déjà décrite plusieurs fois.

L’attaque a permis au pirate d’utiliser les droits de l’administrateur du forum. Elle se fonde sur l’utilisation non prévu du champ referer pour sniffer et récupérer le session ID (SID) après que l’administrateur du forum soit allé consulter le profil ou un post contenant une image hébergée chez le pirate. Ainsi il devient possible de récupérer le SID de l’admin ou du modérateur pour modifier la page d’accueil ou saboter le forum via des requêtes du type:

« POST /forum/admin/admin_users.php?sid=b1c8e3c144…eb23 HTTP/1.1 » 200
« POST /forum/admin/admin_board.php?sid=b1c8eb3214…6ab9 HTTP/1.1 » 200

Origine de l’article :
http://www.up.univ-mrs.fr/wcri/d_serv/d_reseau/d_cert/2007/certmsgSTAT009