Une nouvelle variante d'un outil de déni de service dans les mains des hackers

Le Cert (Computer Emergency Response Team) vient de publier une note sur le sujet, une nouvelle variante de l'outil de déni de service " stacheldraht " circule sur Internet. Cet outil avait notamment été utilisé dans le courant du mois de février pour perturber sérieusement des sites comme Yahoo, eBay, Amazon.com, Buy.com ou encre CNN.

Les premières analyses du code source de Carko, nom de code du nouveau venu, montrent, selon le Cert, qu'il s'agirait d'une variante mineure, ne comprenant pas de fonctions radicalement nouvelles. Reste que Caro a été identifié sur plusieurs serveurs qui, infectés de la sorte, pourraient malgré eux devenir les complices d'une attaque.

Généralement, les attaques dites de "déni de service" sont orchestrées par des pirates en mettant à contribution un grand nombre de serveurs dont il se sont rendus maîtres. L'attaque consiste à multiplier les requêtes vers le site visé jusqu'à consommer toutes les ressources des serveurs. Submergé, le site " tombe " ou encore devient vulnérable à d'autres types de manipulation.

Pour transformer des serveurs en complices, en y déposant Carko , les pirates exploitent une faille présente dans le "snmpXdmid" de Solaris (l'Unix de Sun). Ce démon, qui traduit les des événements du protocole réseau SNMP en indicateurs DMI (Desktop Management Interface, protocole utilisé pour remonter des informations d'administration), souffre en effet d'une faiblesse (possibilité de déborder une mémoire tampon) qui permet d'acquérir les privilèges administrateur sur un serveur.

Les administrateurs sont donc conviés par le Cert à vérifier les mises à jour de leurs serveurs. Des précisions sur Carko et la faille de snmpXdmid peuvent être obtenus ici.
[Cyril Dhénin, JDNet]