vendredi 28 août 2009

Compromission d'apache.org

Le site apache.org vient d'être attaqué.
Ils indiquent:
The Infrastructure Team of The Apache Software
Foundation is currently investigating a
potential compromise of one of our servers.
For security reasons most apache.org
services are therefore offline, but will be
restored shortly. We apologies for any
inconvenience this may cause.

Il ne s'agit pas d'une faille d'apache, mais d'une clé ssh compromise, comme ils indiquent sur leur site.
10:42am UTC: Compromise was due to a
compromised SSH Key, not due to any software
exploits in Apache itself.
More details soon.
Nous attendons des détails, donc. Ce genre d'attaque serait effectivement très intéressante à décortiquer pour comprendre comment elle a pu être possible.
Il y a quelque temps, RedHat s'était également fait compromettre via une clé SSH. Le pirate aurait pu signer des paquets (le conditionnel est de mise). cf http://www.certa.ssi.gouv.fr/site/CERTA-2008-AVI-428/.
RedHat avait promis fournir toutes les informations relatives à cette attaque, ce que nous attendons toujours.

J'espère qu'Apache aura plus de transparence et indiquera comment la clé a pu être compromise, ce qui a un interêt relatif, et surtout comment la détection et la circonscription de l'attaque s'est faite.

1/ La compromission de la clé peut arriver de multiples manières. On peut imaginer un utilisateur malveillant. On peut imaginer un utilisateur protégeant mal sa clé. On peut imaginer une première compromission d'infrastructures (zf05 nous rappelle bien que les infrastructures mutualisées ne sont pas de confiance)

2/ La détection de l'attaque est donc bien plus intéressante. Quelles sont les méthodes qui ont permis de détecter des manipulations malicieuses? Quelles ont été les actions prises pour circonscrire l'attaquant? Comment revenir à un fonctionnement normal et sain par la suite?

Donc, Wait and See.

Aucun commentaire:

Enregistrer un commentaire