Libertés Numériques

Une alerte de sécurité concernant une porte dérobée (backdoor) non documentée dans les produit Barracuda vient d'être publiée ici. Apparemment, il existe depuis une dizaine d'années, une fonctionnalité non documentée dans les systèmes hardware de firewall, anti-spam et VPN vendus par la société Barracuda qui permet de se loguer très facilement sur la machine.

Celles-ci sont configurées par défaut pour "écouter" les connexions SSH entrantes et autoriser ceux qui se connectent avec le login "product" et un mot de passe apparemment tellement faible qu'il aurait été moins honteux de ne pas en mettre.

Le hic, c'est qu'une fois loggé dans le système, il est possible d'accéder sans plus d'accréditation à la base de donnée MySQL du système. À partir de là tout est possible.

A à l'aide d'un ancien backdoor, des pirates ont réussi à remplacer sur des serveurs web les fichiers binaires SSH originaux par de faux fichiers capables de voler les informations d'identification.

Les chercheurs de l'entreprise de sécurité internet Sucuri mettent en garde contre un groupe de pirates informatiques qui a réussi à infecter les serveurs web avec de faux modules Apache et à détourner les services SSH dans le but de voler les informations d'identification des administrateurs et des utilisateurs. « Les pirates remplacent tous les fichiers binaires SSH sur les serveurs compromis avec des versions backdoors programmées pour renvoyer le nom d'hôte, le nom d'utilisateur et le mot de passe des connexions SSH entrantes et sortantes des serveurs sous leur contrôle », ont alerté les chercheurs de Sucuri dans un blog. « J'ai déjà vu dans le passé des backdoors SSHD [SSH daemon] à très petite échelle ou intégrés dans des rootkits publics, mais pas comme celui-ci », a déclaré hier par mail Daniel Cid, CTO de Sucuri. «  Non seulement ils modifient le SSH daemon, mais tous les SSH binaires (ssh, ssh-agent, sshd), et leur principal objectif est de voler les mots de passe ».