Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Imperva décortique les attaques LFI & RFI (Remote and Local File Inclusion)

avril 2012 par Imperva

Imperva dévoile son dernier rapport HII. Celui-ci décrypte un vecteur d’attaque particulièrement apprécié des hackers, les attaques RFI (Remote File Inclusion) et LFI (Local File Inclusion). Elles ont pour fonction d’exécuter des codes malicieux et voler des données via la manipulation des serveurs web des entreprises.

Ces attaques faisaient partie des attaques applicatives les plus répandues et utilisées par les hackers en 2011, puisqu’elles représentaient déjà 21% des attaques applicatives dans la dernière édition du rapport WAAR (Web Application Attack Report) menée entre juin – novembre 2011.

Ces attaques RFI / LFI tirent partie des vulnérabilités PHP en injectant un code malicieux dans un URL permettant son exécution à distance. Le PHP est un langage de programmation conçu pour le développement des sites internet, son utilisation est actuellement très répandue au travers des applications web.

« Les RFI et LFI sont des vecteurs d’attaque particulièrement prisés et populaires auprès des hackers du fait de leur puissance de frappe et qu’ils soient encore méconnus. » indique Tal Be’ery, Chercheur en sécurité chez Imperva. « Nous avons ainsi pu observer que les hacktivistes et plus généralement les pirates utilisaient largement ces vecteurs. C’est pourquoi nous sommes convaincu qu’il est maintenant indispensable que la communauté de la sécurité y consacre toute son attention. »

Principaux enseignements du rapport :

RFI/LFI « à l’état sauvage » - Il y a, aujourd’hui, une réelle nécessité de sensibilisation à l’égard de cette technique d’attaque. Le nombre de sites qui en est victime est tel qu’on ne peut ignorer cette menace et ses conséquences (environ 1 200 000 sites WordPress ont été compromis l’an dernier, avec ces vecteurs via la vulnérabilité TimThumb).

Décryptage des RFI / LFI – Une infographie de l’analyse, étape par étape, d’un fichier infecté par RFI montre comment un « shell code » dissimule le vecteur de l’attaque en s’intéressant à la manière dont il contourne les systèmes de détection et les techniques d’atténuation classiques.

L’évolution des RFI / LFI – De l’inclusion de fichiers à distance à l’inclusion de fichiers locaux, les pirates continuent de développer de nouveaux vecteurs d’attaque qui passent au travers des anti-malwares en divisant les fichiers infectés dans plusieurs champs.

Les techniques pour contrer les RFI / LFI – Introduire une nouvelle approche pour prévenir les attaques RFI par la protection des flux d’hébergement.




Voir les articles précédents

    

Voir les articles suivants