dixit n'ko
Le nouveau ver informatique Santy.a se propage actuellement sur internet, il ne s'agit pas d'un virus de type mass-mailing, il est question d'un Web-Worm. Santy.a a pour but (visible) de défigurer automatiquement des sites web hébergeant un forum phpBB (versions <= 2.0.10) en exploitant la vulnérabilité "highlight SQL Injection" présente au niveau du fichier "viewtopic.php". Note : ce ver, dans sa version actuelle, ne représente aucune menace pour les utilisateurs se rendant sur un site compromis
Santy.a s'autocopie dans le serveur compromis sous le nom "m1ho2of", il identifie ensuite des nouvelles cibles potentielles via le moteur de recherche Google (en utilisant le terme "viewtopic.php"). Plusieurs milliers de sites (40.000) ont d'ores et déjà été détournés, les pages ".htm", ".php", ".asp", ".shtm", ".jsp" et ".phtm" sont modifiées et remplacées par le code suivant : This site is defaced!!! NeverEverNoSanity WebWorm generation x. (où X représente la génération de l'infection).
Update-1 : L'équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l'identification et la compromission de nouveaux serveurs.
Update-2 : Plusieurs variantes se propagent actuellement sur internet, elles utilisent les moteurs de recherche AOL et Yahoo. Contrairement à la version originale de Santy, ces variantes installent un IRC-Bot contrôlé par des pirates.
Solution
- Migrer vers phpBB version 2.0.11 ou modifier le fichier vulnérable.
- Nous recommandons fortement la mise à jour de
(utiliser 4.3.10 ou 5.0.3) car une autre vulnérabilité critique, non exploitée par ce ver, pourrait être, dans l'avenir, utilisée comme vecteur de propagation/compromission de serveurs web (sous
<= 4.3.9 ou <= 5.0.2).
Signatures Snort
alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "phpBB highlight exploit attempt"; content: "&highlight=%2527%252Esystem("
alert tcp any any -> any 80 (msg: "Possible Santy.A worm searching google for targets"; content: "&q=allinurl%3A+%22viewtopic.php%22+%22"
Références
http://www.frsirt.com/exploits/20041122.r57phpbb2010.pl.php http://www.us-cert.gov/cas/techalerts/TA04-356A.html http://www.f-secure.com/v-descs/santy_a.shtml http://www.sarc.com/avcenter/venc/data/perl.santy.html http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 http://www.frsirt.com/exploits/20041222.sanityworm.pl.php http://www.frsirt.com/exploits/20041225.SantyB.php