05/02/2001
Une
nouvelle variante d'un outil de déni de service dans les mains
des hackers
Le
Cert (Computer Emergency Response Team) vient de publier une
note sur le sujet, une nouvelle variante de l'outil de déni
de service " stacheldraht " circule sur Internet. Cet outil
avait notamment été utilisé dans le courant du mois de février
pour perturber sérieusement des sites comme Yahoo, eBay, Amazon.com,
Buy.com ou encre CNN.
Les premières analyses du code source de Carko, nom de code
du nouveau venu, montrent, selon le Cert, qu'il s'agirait
d'une variante mineure, ne comprenant pas de fonctions radicalement
nouvelles. Reste que Caro a été identifié sur plusieurs serveurs
qui, infectés de la sorte, pourraient malgré eux devenir les
complices d'une attaque.
Généralement, les attaques dites de "déni de service" sont
orchestrées par des pirates en mettant à contribution un grand
nombre de serveurs dont il se sont rendus maîtres. L'attaque
consiste à multiplier les requêtes vers le site visé jusqu'à
consommer toutes les ressources des serveurs. Submergé, le
site " tombe " ou encore devient vulnérable à d'autres types
de manipulation.
Pour transformer des serveurs en complices, en y déposant
Carko , les pirates exploitent une faille présente dans le
"snmpXdmid" de Solaris (l'Unix de Sun). Ce démon, qui traduit
les des événements du protocole réseau SNMP en indicateurs
DMI (Desktop Management Interface, protocole utilisé pour
remonter des informations d'administration), souffre en effet
d'une faiblesse (possibilité de déborder une mémoire tampon)
qui permet d'acquérir les privilèges administrateur sur un
serveur.
Les administrateurs sont donc conviés par le Cert à vérifier
les mises à jour de leurs serveurs. Des précisions sur Carko
et la faille de snmpXdmid peuvent être obtenus ici.
[Cyril
Dhénin, JDNet]
|