Pourquoi s'attaquer à cette distribution?

C'est un hacker ou groupe de hackers inconnu(s) qui s'est attaqué au site de la distribution pour pouvoir remplacer les ISO originaux par les leurs. La distribution touchée par ce hack est la suivante : Linux Mint 17.3 Cinnamon Edition.

Qui est concerné ?

Toutes les personnes ayant téléchargé la version citée plus haut, et l'ayant fait après samedi dernier. Tous les utilisateurs ayant téléchargé une autre version ou l'ayant fait avant samedi n'auront aucun problème.

Comment est-ce arrivé ?

Les pirates se sont attaqué au blog sous WordPress de la distribution pour ensuite récupérer un accès à www-data. De là, les pirates ont pu mettre en place un service FTP alternatif dont l'IP bulgare est la suivante : 5.104.175.212.

L'OS infecté est composé d'une brèche s’appelant Tsunami, qui offrira des accès à d'éventuels pirates via un IRC. Tsunami est un cheval de Troie bien connu, un bot IRC simple d'utilisation pour mettre en place des dénis de services (DDoS). L'équipe de Linux Mint s'est rapidement rendu compte de ce hack. Après avoir nettoyé les liens, fait une annonce officielle sur leur blog, les pirates s'en sont pris au site une seconde fois.

À la suite de cette seconde attaque, l'équipe a préféré placer leur service en mode hors ligne, de façon à régler complétement le problème. En effet lors du premier nettoyage, la faille d'entrée des hackers n'avait pas été bouchée. Il ne sera remis en ligne que lorsque tout sera revenu à la normale.

Aucune information n'est disponible sur les motivations des pirates. Ah si, peut-être la vente de la bases de données de la distribution et de son site pour la modique somme de 85 $. Ils croient vraiment que quelqu'un va leur acheter ça ? Cela en dit long sur le professionnalisme de cette équipe de hackers. Il faut savoir aussi que ce bot Tsunami est considéré comme dépassé et peu efficace puisqu'il est connu depuis 2010.

Que faire ?

• Déconnectez votre ordinateur d'un quelconque réseau ;
• Faites une copie de vos données importantes ;
• Formatez votre ordinateur et réinstallez un OS clean (propre) ;
• Si vous souhaitez utiliser la même distribution, n'hésitez pas à vérifier la signature MD5 de votre ISO.

Vous pourrez retrouver de nombreuses informations complémentaires sur le blog officiel de Linux Mint.

L’article [Linux] Le site de “Linux Mint” piraté est apparu en premier sur Custom Protocol.

Cliquez sur un lien ou connectez-vous à un serveur et vous pourrez entrainer de l'exécution de code à distance (RCE), permettant aux pirates de voler des informations d'identification, de vous espionner, de prendre le contrôle de votre ordinateur, etc. Cette vulnérabilité est similaire à celle dévoilée l'année dernière (CV-2015-0235) qui a laissé d'innombrables machines vulnérables à l'exécution de RCE.

La Bibliothèque C GNU (glibc) est une collection de code open source qui alimente des milliers d'applications autonomes et la plupart des distributions Linux, y compris ceux qui sont distribués à des routeurs.

L'indexation de cette récente faille est la suivante : CVE-2015-7547.

La faille peut être exploitée lorsqu'un périphérique affecté ou une application effectue des requêtes à un serveur DNS malveillant qui renvoie trop d'informations à une demande de recherche et inonde la mémoire du programme avec le code. Ce code compromet alors l'application ou le périphérique vulnérable et tente de reprendre le contrôle sur l'ensemble du système.

Cependant, un pirate aura besoin de contourner plusieurs mécanismes de sécurité du système d'exploitation, comme ASLR et la protection de pile non-exécutable afin de réaliser avec succès l'attaque de RCE.

Les appareils et logiciels Linux affectés

Toutes les versions de la glibc après 2.9 sont vulnérables. Par conséquent, tout logiciel ou application qui se connecte sur un réseau ou sur Internet et utilise glibc est à risque. Cette vulnérabilité pourrait donc s'étendre aux principaux logiciels :

• Pratiquement toutes les distributions de Linux ;
• Les langages de programmation tels que Python, PHP et Ruby on Rails ;
• La plupart des logiciels Bitcoin.

Les appareils et logiciels Linux non-affectés

La bonne nouvelle est que les utilisateurs du système d'exploitation mobile Android de Google ne sont pas vulnérables à cette faille. Comme la société utilise un substitut de la glibc appelé Bionic. En outre, un grand nombre de périphériques Linux embarqués, y compris les routeurs domestiques, ne sont pas affectés par la vulnérabilité étant donné que ces appareils utilisent la bibliothèque uclibc pour des raisons de légèreté.

La vulnérabilité a été découverte indépendamment par des chercheurs de Google et Red Hat.

Quelles sont nos alternatives aujourd'hui

J. Serna (Google) vient de publier un code encore à l'état de POC (proof of concept). Avec ce code POC, vous pouvez vérifier si vous êtes concerné par ce problème crucial, et vérifier les mesures d'atténuation que vous pourriez souhaiter adopter.

Les chercheurs de Google, en collaboration avec les chercheurs en sécurité de Red Hat, ont par ailleurs publié un correctif pour corriger l'erreur de programmation. Toutefois, il appartient maintenant à la communauté derrière le système d'exploitation Linux et les fabricants, de déployer un correctif pour leurs logiciels et pour les dispositifs touchés.

Pour les utilisateurs, patcher le problème ne sera pas chose aisée. Les applications compilées avec une version vulnérable de la glibc devront être recompilées avec une nouvelle version sous forme de mise à jour. Un processus qui prendra du temps car les utilisateurs d'applications concernées devront attendre le travail des développeurs.

En attendant, si vous n'êtes pas capable de patcher immédiatement, vous pouvez limiter toute réponse TCP DNS à 1024 octets, et le décrochage de paquets UDP DNS de plus de 512 octets.

L’article [Linux] Nouvelle vulnérabilité Linux, “glibc” mis en cause est apparu en premier sur Custom Protocol.