by Dr. Radut

La mode dans les attaques WEB

Published by jpp -

Les attaques de serveurs WEB. 
Les nouveautés de ces derniers mois :

  • 21 FĂ©vrier 2021 : les attaques liĂ©es Ă  l'utilisation de Git pour la maintenance de l'arborescence des serveurs Web se multiplient voir article spĂ©cifique.
  • Septembre 2020 Ă  Janvier 2021 : Attaque VXWORKS voir article spĂ©cifique.
  • Juin 2020 : La derniĂšre attaque "Ă  la mode " : GET /?q=user

Je ne sais pas encore Ă  quoi est liĂ©e cette attaque ... mais j'en ai rĂ©cupĂ©rĂ© plus de 20 sur une seule journĂ©e ! 
Encore beaucoup de "2 accÚs de longueur 14 et 4 sans aucun header". Tiens je n'en ai plus vu depuis quelques mois (Mai 2021). et toujours les recherches de "/wp-login.php" prélude (si réussi) à diverses attaques.

Attaques "TYPE" : 
Il existe une multitude d'attaques sur les sites Web depuis tous les "hits" sur /phpmyadmin, /myadmin, /pma/...... /wp-login 
d'autres sont plus ciblĂ©es, par exemple /HNAP1 orientĂ©e vers certains routeurs ... 
Mais il existe des modes, diffusion d'un nouveau script de recherche de vulnérabilités en général, on voit de telles attaques pendant des périodes plus ou moins longues et elles peuvent représenter un volume trÚs important, les derniÚres en date concernent deux Url spécifiques :

  • .env, ça continue depuis des mois Ă  faible dĂ©bit toutefois, existe encore en 2024.
  • /.git/HEAD ou /.git/config, existe lĂ  aussi toujours en 2024.
  • Une nouvelle lubie (?) les URL commençant par "//", j'ai mĂȘme vu "///",je ne sais pas ce que c'est censĂ© faire, mais sur un serveur Apache les "//" sont convertis en "/" pour l'accĂšs ce qui ne change donc rien.

".env" dĂ©jĂ  rencontrĂ© quelques fois sur une longue pĂ©riode prĂ©sente ces trois derniers jours une quantitĂ© plus de 10 fois supĂ©rieure aux autres attaques. 
Il semble que ".env" soit utilisĂ© par certains sites pour stocker des paramĂštres tels que les accĂšs Ă  la base de donnĂ©es ... si ces fichiers sont accessibles c'est la porte ouverte pour accĂ©der aux donnĂ©es des utilisateurs ... et/ou pirater le site. 
J'ai aussi vu des sites avec un suivi de version assurĂ© par un gestionnaire de version (git), l'accĂšs Ă  HEAD doit pouvoir rĂ©vĂ©ler des choses intĂ©ressantes sur le site. 
Dans la plupart des cas il s'agit d'un non-respect des bonnes pratiques car ce type de fichier ne doit pas ĂȘtre "visible de l'extĂ©rieur" car contenant des donnĂ©es qui peuvent ĂȘtre sensibles : accĂšs Ă  la base, mot de passe administrateur .... 

Liste d'URL d'attaques courantes :

  • /CHANGELOG.txt  ou LICENSE pour dĂ©terminer les logiciels et versions utilisĂ©s
  • /jmx-console   pour ceux qui laissent une console java accessible sur internet, c'est une invitation aux tentatives de brute-force
  • /myadmin et variantes phpmyadmin ... PhPMyadmin ... php-my-admin ... /pma
  • /db et variantes /dbadmin ... /admin
  • sans oublier /wp-admin, /wp-login, /wp-content
  • ni non plus les url contenant ../../../ pour essayer de "remonter" dans l'arborescence des fichiers du serveur et, par exemple d'accĂ©der au Graal : le fichier /etc/passwd sur une machine Unix/Linux.
  • Assez rĂ©cemment on a vu apparaĂźtre la mode du // en dĂ©but d'URL, je n'ai trouvĂ© aucune information sur cette particularitĂ©.

J'arrĂȘte ici cette liste qui pourrait ĂȘtre longue ... mais qui dans beaucoup de cas cherche Ă  exploiter des "erreurs" de configuration ou des imprudences telles que des couples user/mot de passe faibles voire trĂšs faibles ou a des valeurs par dĂ©faut, qui n'a jamais vu des accĂšs administrateur "protĂ©gĂ©s" par admin/admin. 
Une autre "attaque" mais je n'ai pas rĂ©ussi Ă  trouver Ă  quel vulnĂ©rabilitĂ©/logiciel elle Ă©tait destinĂ©e, c'est la rĂ©ception de deux paquets HTTP sans signification particuliĂšre, le premier avec un contenu de 14 octets, le second de 4 octets. Quel esprit vicieux a pu inventer pareil scĂ©nario. J'en ai vu passer des dizaines en une semaine, puis, aprĂšs une accalmie, c'est reparti. 

Depuis quelques jours (mai 2021) je trouve des recherches de /telescope .... Il y a toujours des nouveautés correspondant à des failles trouvées et publiées sur diverses applications.

N'oubliez pas d'effectuer les mises à jour de sécurité de tous vos logicieis ...