Worm : Mambo en a Mare.D

Le par  |  3 commentaire(s) Source : Par Aurélien Cabezon pour Vulnerabilite.com

Mare.

Mare.D, c'est le nom de baptême d'un ver qui, d'après F-Secure, sévirait actuellement sur la toile en exploitant deux vulnérabilités. L'une affecte le CMS (Content Management System) Mambo et l'autre la librairie PHP XML-RPC. Pourtant, les équipes de Mambo affirment que la vulnérabilité qui les incrimine est corrigée depuis fort longtemps ...


Habitué aux effets d'annonces, F-Secure diffuse régulièrement de l'information à travers le « Blog » de son laboratoire de recherche en virologie. Comme souvent, la presse non spécialisée se fait l'écho des trouvailles glorifiantes de l'éditeur. Fin février, c'est Mambo et PHP qui s'y collent. En effet, d'après l'entreprise, le CMS Open Source et la librairie PHP XML-RPC sont pris pour cible par un ver baptisé Mare.D qui exploite leurs vulnérabilités respectives.

C'est ainsi que commence l'histoire banale d'un ver qui exploite une nouvelle vulnérabilité affectant un applicatif web open source. Seulement, les développeurs de Mambo ne le voient pas de cet oeil, et pour cause, la faille en question est corrigée depuis plus d'un an !

Ainsi, Martin Brampton, l'un des développeurs de Mambo explique: " les bulletins d'alerte des deux vulnérabilités datent respectivement du 29 juin 2005 et du 21 février 2005. Les deux produits (Mambo et XML-RPC) ont depuis été corrigés. " puis il ajoute " C'est peut-être un Hoax. Quelle qu'en soit la raison, quelqu'un n'a pas sur faire la différence entre les années 2005 et 2006 ".

Effectivement, le ver Mare.D, qui n'a pour l'instant été détecté que par le laboratoire de F-Secure, exploiterait une vulnérabilité corrigée depuis le 21 novembre 2005. Le ver utilise d'ailleurs un 'exploit' connu pour cette faille. Il n'y a donc aucune nouveauté dans ce ver qui cause aujourd'hui plus de tort à l'image de Mambo qu'à ses utilisateurs.

Interrogé par nos confrères de Silicon.com, Simon Perry, Senior VP Security Strategy chez CA explique: " Il ne me paraît pas intéressant de mettre en avant un vecteur de contamination qui date de plus d'un an et qui est généralement corrigé sur les systèmes en production. "

Alors, pourquoi diffuser l'information '

Ce qui est intéressant, c'est de publier une information 'sexy' qui contient dans son seul titre des mots magiques aux yeux des glaneurs d'infos tels que 'vers', 'php', 'open source'. De quoi, à l'approche du week-end, entretenir l'attention des médias.

Finalement, ce non-événement aura eu le mérite de réveiller les fantasmes (fondés) des utilisateurs effrayés par les malwares qui s'attaquent aux applications web et à l'open source. D'ailleurs, nous en parlons en ce moment. C'est bien la preuve que ce genre de communication fonctionne !
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #90878
"Finalement, ce non-événement aura eu le mérite de réveiller les fantasmes (fondés) des utilisateurs effrayés par les malwares qui s'attaquent aux applications web et à l'open source. D'ailleurs, nous en parlons en ce moment. C'est bien la preuve que ce genre de communication fonctionne !"

Cela porte un nom = INTOX.

Et c'est simple à comprendre. Quel est le secteur le plus fragile du domaine logiciel ' Les antivirus.

Car, il faut dire les choses comme elles sont : les attaques virales sont du passé.

Un excellent article du figaro :

http://www.lefigaro.fr/high-tech/20060215.WWW000000275_vrais_virus_et_fausses_alertes.html

Qui site Emmanuel Jud, patron de secuser.com

"Le nombre d'alertes aux virus majeurs est en baisse, expliquait récemment Emmanuel Jud, éditeur du site Secuser. Alors les éditeurs maintiennent la pression en parlant plutôt du nombre de virus qu'ils ont recensé. Or, un grand nombre de ces virus ne sont pas libérés par leur auteur qui se contente de les envoyer aux éditeurs, simplement pour faire parler de lui."

Les éditeurs d'AV sont complètements *bip* car à force de crier au loup et de prendre les gens pour des cons (comme avec l'affaire des Virus MacOS-X ou encore de KamaSutra), ils vont perdre TOUTE crédibilité...
Le #90891
Tout comme certain posteur...
Le #90898
@CocoVFR
Explique ce que tu veut dire c'est un peu flou ta phrase, j'ai meme rien capté...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]