Virus: Mambo en a Mare.D !
Mare.D est le nom de baptême d'un ver qui, d'après F-Secure, sévirait actuellement sur la toile en exploitant deux vulnérabilités. L'une affecte le CMS (Content Management System) Mambo et l'autre la librairie PHP XML-RPC. Pourtant, les équipes de Mambo affirment que la vulnérabilité qui les incrimine est corrigée depuis fort longtemps
Habitué aux effets d'annonces, F-Secure diffuse régulièrement de l'information à travers le « Blog » de son laboratoire de recherche en virologie. Comme souvent, la presse non spécialisée se fait l'écho des trouvailles glorifiantes de l'éditeur. Fin février, c'est Mambo et PHP qui s'y collent. En effet, selon cet éditeur, le CMS 'Open Source' et la librairie PHP XML-RPC sont pris pour cible par un ver baptisé Mare.D qui exploite leurs vulnérabilités respectives.
C'est ainsi que commence l'histoire banale d'un ver qui exploite une nouvelle faille affectant un applicatif Web open source. Seulement voilà, les développeurs de Mambo ne le voient pas de cet oeil. Et pour cause, la faille en question est corrigée depuis plus d'un an ! Martin Brampton, l'un des développeurs de Mambo explique: « Les bulletins d'alerte des deux vulnérabilités datent respectivement du 29 juin 2005 et du 21 février 2005. Les deux produits (Mambo et XML-RPC) ont depuis été corrigés. » Et d'ajouter: « C'est peut-être un 'hoax' [canular]. Quelle qu'en soit la raison, quelqu'un n'a pas su faire la différence entre les années 2005 et 2006 ». Effectivement, le ver Mare.D, qui n'a, pour l'instant, été détecté que par le laboratoire de F-Secure, exploiterait une vulnérabilité corrigée depuis le 21 novembre 2005. Le ver utilise d'ailleurs un 'exploit' connu pour cette faille. Il n'y a donc aucune nouveauté dans cette « révélation » qui cause aujourd'hui plus de tort à l'image de Mambo qu'à ses utilisateurs. Interrogé par nos confrères de Silicon.com, Simon Perry, Senior VP Security Strategy chez CA explique: « Il ne me paraît pas intéressant de mettre en avant un vecteur de contamination qui date de plus d'un an et qui est généralement corrigé sur les systèmes en production. » Alors, pourquoi diffuser l'information ? Ce qui est intéressant, c'est de publier une information 'sexy' qui contient dans son seul titre des mots magiques aux yeux des glaneurs d'infos tels que 'vers', 'php', 'open source'. De quoi entretenir l'attention des médias, à l'approche d'un week-end.. Finalement, ce non-événement aura eu un mérite: celui de réveiller les fantasmes (fondés) des utilisateurs effrayés par les malwares qui s'attaquent aux applications web et à l'open source. D'ailleurs, de quoi parlons-nous en ce moment? C'est bien la preuve que ce genre de communication fonctionne !
Sur le même thème
Voir tous les articles Cybersécurité