Archives par mot-clé : apache

Quand un serveur Apache permet de surveiller un site TOR

Cacher un site Internet via TOR est simple. Au lieu d’un 92829.com, vous vous retrouvez avec un 92829.onion. Impossible, normalement, de trouver la moindre information sur l’hébergement, le propriétaire. Sauf si ce dernier les donne ou utilise un serveur Apache mal configuré.

Shaun, chercheur en sécurité informatique, vient d’expliquer sur son blog, comment il devient simple de remonter à un serveur caché sous TOR à partir d’un problème de configuration d’Apache. L’inventeur de la « faille » indique qu’il faut désactiver « mod_status » avec l’instruction: $ a2dismod status. Dans la plupart des distributions Apache proposées, « mod_status » est activé d’origine. Bilan, les informations sur le serveur s’affichent. Un outil accessible uniquement depuis localhost. Ca c’est pour la sécurité. Sauf que si le daemon Tor tourne en localhost, les sites, forums, blogs tournant en .onion affichent leurs statistiques, les liens exploités, … Il suffit de taper, dans le navigateur TOR http://your.onion/server-status pour savoir si votre site, blog, forum est en danger.

Le pirate d’un logiciel de simulation d’hélicoptère Apache plaide coupable

Austin Alcala, un diplômé de Fishers High School, vient de plaider coupable pour le piratage informatique de Microsoft, Epic Games, Valve, Activision ou encore Zombie Studios, des éditeurs de jeux vidéo. Il avait mis la main sur un logiciel de simulation d’hélicoptère Apache.

Nous vous révélions, en octobre 2014 dans l’article « De la XBOX one aux secrets de l’armée US, il n’y a qu’un pas » comment un étudiant américain avait mis la main sur les codes des jeux vidéo comme « Call of Duty: Modern Warfare 3 » ou « Gears of War 3« . Lui et plusieurs de ses amis, membres du groupe Xbox Underground (membre d’un groupe international baptisé Groupe XU), avaient été arrêtés en juin 2014 par le FBI pour le piratage de Microsoft. Il avait mis la main sur des informations sensibles concernant la « Durango », la nouvelle console de Microsoft connue aujourd’hui sous le nom de Xbox One.

Dans la liste des autres victimes du Xbox Underground, des éditeurs de jeux vidéo, dont Epic Games, Valve, Activision ou encore Zombie Studios, des éditeurs de jeux vidéo. Ce dernier a attiré les regards des services secrets américains. Zombie Studios propose un simulateur d’hélicoptère de combat (AH-64D Apache Simulator) pour l’armée de l’Oncle Sam. Austin Alcala, la tête pensante du groupe vient de plaider coupable. Les autres suspects, Nathan Leroux, David Pokora, et Sanadodeh Nesheiwat ont également plaidé coupable. Pokora a été condamné à 18 mois de prison fédérale, suivie de trois ans de liberté surveillée.

Leroux et Nesheiwat connaitront leur avenir le 11 Juin prochain. Alcala est accusé d’avoir occasionné pour 100 millions de dollars de dégâts/réparations/préjudices. Il connaitra la sentence, le 29 juillet prochain.

Outil pirate pour compromettre le Framework Web Apache Struts

Un outil pirate Chinois, datasecuritybreach.fr a appris qu’il était vendu dans le black market, permet d’automatiser une attaque à l’encontre du Framework Web Apache Struts. Les chercheurs de l’éditeur de solutions de sécurité informatique Trend Micro confirme que cet outil était capable de compromettre le Framework Web Apache Struts en exploitant une faille qui vient d’être bouchée par l’Apache Software Foundation. L’outil pirate contient un  Web Shell, un outil qui permet au pirate de se promener dans la machine piégée via cette porte cachée. Une sorte de Shell99 bien connu chez les pirates. Une version java de la bestiole (JspWebShell) permet d’utiliser les technologies JavaServer Pages (JSP) pour les faciliter les actions du pirate.

Un « couteau Suisse » gênant. Même si un rustine existe, peu de mises à jour semblent avoir été effectuées par les utilisateurs de l’outil de développement d’applications web Java. Il faut dire aussi qu’en pleine périodes de vacances, ça n’aide pas. Comme le précise Trend Micro, l’outil pirate exploite les récentes failles CVE-2013-2251 et CVE-2013-1966, ainsi que de vieilles dames, toujours actives, datant de 2010 et 2011 : CVE-2011-3923, et CVE-2010-1870.

Bref, la mise à jour vers la version 2.3.15.1 d’Apache Struts est plus que conseillée : http://struts.apache.org/download.cgi#struts23151. DataSecurityBreach.fr a pu constater sur le blog du groupe de hackers chinois que les premières infos sur la faille ont commencé à pointer le bout de leurs bits en mai 2013. Le 19 Juillet sortait l’exploit. Le 20 juillet, l’outil K-eight, signé par B.L.Brother, était diffusé. Soit trois jours après la diffusion du patch de sécurité d’Apache.