Mare.D, c'est le nom de baptême d'un ver qui, d'après F-Secure, sévirait actuellement sur la toile en exploitant deux vulnérabilités. L'une affecte le CMS (Content Management System) Mambo et l'autre la librairie PHP XML-RPC. Pourtant, les équipes de Mambo affirment que la vulnérabilité qui les incrimine est corrigée depuis fort longtemps ...


Habitué aux effets d'annonces, F-Secure diffuse régulièrement de l'information à travers le « Blog » de son laboratoire de recherche en virologie. Comme souvent, la presse non spécialisée se fait l'écho des trouvailles glorifiantes de l'éditeur. Fin février, c'est Mambo et PHP qui s'y collent. En effet, d'après l'entreprise, le CMS Open Source et la librairie PHP XML-RPC sont pris pour cible par un ver baptisé Mare.D qui exploite leurs vulnérabilités respectives.

C'est ainsi que commence l'histoire banale d'un ver qui exploite une nouvelle vulnérabilité affectant un applicatif web open source. Seulement, les développeurs de Mambo ne le voient pas de cet oeil, et pour cause, la faille en question est corrigée depuis plus d'un an !

Ainsi, Martin Brampton, l'un des développeurs de Mambo explique: " les bulletins d'alerte des deux vulnérabilités datent respectivement du 29 juin 2005 et du 21 février 2005. Les deux produits (Mambo et XML-RPC) ont depuis été corrigés. " puis il ajoute " C'est peut-être un Hoax. Quelle qu'en soit la raison, quelqu'un n'a pas sur faire la différence entre les années 2005 et 2006 ".

Effectivement, le ver Mare.D, qui n'a pour l'instant été détecté que par le laboratoire de F-Secure, exploiterait une vulnérabilité corrigée depuis le 21 novembre 2005. Le ver utilise d'ailleurs un 'exploit' connu pour cette faille. Il n'y a donc aucune nouveauté dans ce ver qui cause aujourd'hui plus de tort à l'image de Mambo qu'à ses utilisateurs.

Interrogé par nos confrères de Silicon.com, Simon Perry, Senior VP Security Strategy chez CA explique: " Il ne me paraît pas intéressant de mettre en avant un vecteur de contamination qui date de plus d'un an et qui est généralement corrigé sur les systèmes en production. "

Alors, pourquoi diffuser l'information '

Ce qui est intéressant, c'est de publier une information 'sexy' qui contient dans son seul titre des mots magiques aux yeux des glaneurs d'infos tels que 'vers', 'php', 'open source'. De quoi, à l'approche du week-end, entretenir l'attention des médias.

Finalement, ce non-événement aura eu le mérite de réveiller les fantasmes (fondés) des utilisateurs effrayés par les malwares qui s'attaquent aux applications web et à l'open source. D'ailleurs, nous en parlons en ce moment. C'est bien la preuve que ce genre de communication fonctionne !