- Date : 15 Fevrier 2012

- Gravité : Elevée

- Dommage : Accès au système

- Description :
La supervision des actions faites sur un serveur est primordiale à la sécurisation du SI. Preuve en est, la récente découverte des développeurs du projet Horde.

Récemment, après avoir relevé des actions suspectes réalisées sur l’un des serveurs FTP, les développeurs ont découvert que le serveur en question avait été compromis par des pirates. Après avoir, dans un premier temps, déconnecté les serveurs afin de limiter les dommages, les personnes en charge de la réponse à cet incident de sécurité ont été en mesure de restreindre les modifications apportées par les pirates à seulement trois archives. Il s’agit en l’occurrence des fichiers suivants :
– Horde 3.3.12 (téléchargé sur le site du projet entre le 15 novembre et le 7 février) ;
– Horde Groupware 1.2.10 (téléchargé sur le site du projet entre le 9 novembre et le 7 février) ;
– Horde Groupware Webmail Edition 1.2.10 (téléchargé sur le site du projet entre le 2 novembre et le 7 février).

Après avoir pris le contrôle du serveur, les pirates auraient modifié ces trois archives afin d’inclure une porte dérobée au sein des programmes téléchargés par les internautes. Celle-ci serait détectable en recherchant la signature suivante dans les fichiers téléchargés : $m[1]($m[2]). La vulnérabilité introduite par les pirates est référencée CVE-2012-0209.

Grâce à l’ajout de ce code malveillant, les pirates sont en mesure d’exécuter des commandes arbitraires sur les serveurs vulnérables en envoyant simplement une requête HTTP spécialement conçue. Sans autres informations, il semble cependant très difficile pour les pirates d’identifier les systèmes vulnérables en ligne, sans procéder à des essais exhaustifs sur chacun des serveurs Horde découverts. Difficile donc de savoir si la faille est réellement exploitée sur Internet. En effet, une porte dérobée complexe devrait se charger de prévenir les pirates de la mise en ligne d’une application Horde vulnérable...

Enfin, les développeurs ont annoncé avoir procédé à la réinstallation et à la sécurisation des serveurs compromis.

- Référence :
http://dev.horde.org/h/jonah/stories/view.php?channel_id=1&id=155

- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0209

- Correction :

Le CERT-XMCO recommande l’installation des versions suivantes, disponibles sur le site de l’éditeur aux adresses suivantes :

ftp://ftp.horde.org/pub/horde/horde-3.3.12.tar.gz

ftp://ftp.horde.org/pub/horde/horde-3.3.13.tar.gz

ftp://ftp.horde.org/pub/horde-groupware/horde-groupware-1.2.10.tar.gz

ftp://ftp.horde.org/pub/horde-groupware/horde-groupware-1.2.11.tar.gz

ftp://ftp.horde.org/pub/horde-webmail/horde-webmail-1.2.10.tar.gz

ftp://ftp.horde.org/pub/horde-webmail/horde-webmail-1.2.11.tar.gz

Les empreintes de ces fichiers sont disponibles sur le site de l’éditeur afin de procéder à une vérification de la validité du fichier téléchargé.

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0240