Exploitant les faiblesses de certains serveurs Linux, le ver Lion permet à de mystérieux hackers de s’introduire sur les réseaux d’entreprise. Selon les premières informations, il est difficile à repérer et encore plus à éradiquer.
Drôle de nom pour un ver. Dans une alerte, diffusée vendredi 23 mars, par le System Administration, Networking and Security (SANS) Institute, Lion est décrit comme un programme particulièrement vicieux qui s’attaque aux serveurs Linux. Ce virus exploite les faiblesses de certaines versions de logiciels serveurs BIND (Berkeley Internet Name Domain), des applications indispensables pour traduire un nom de domaine (www.transfert.net, par exemple) en une adresse internet comprise par les machines du Net. Lion met à profit de possibles dépassements de mémoire tampon (buffer overflow) de BIND pour s’exécuter. Un ver comparable touchant les distributions Red Hat de Linux, Ramen, avait été signalé en janvier dernier. Mais Lion est beaucoup plus sauvage que Ramen.
Premier acte ?
Pour s’attaquer aux machines, Lion commence par scanner Internet de manière aléatoire à la recherche de serveurs Linux vulnérables, grâce à une application nommée randb. Il installe alors sur les serveurs sans défense le kit logiciel t0rn, qui passe aux choses sérieuses : il vole les mots de passe (et les envoie à une adresse correspondant au nom de domaine china.com), installe des backdoors (portes dérobées) sur le serveur, qui permettront ultérieurement au(x) hacker(s) de visiter le réseau de l’entreprise ou de l’université. Puis, il force la machine infectée à scanner, à son tour, le Net à la recherche de nouvelles victimes. Outre les problèmes de sécurité que pose Lion, les serveurs sont également très ralentis par l’activité incessante du ver. Son expansion pourrait également n’être que la première phase d’une attaque du type "déni de service" (Dos, Denial of Service) que les auteurs pourraient lancer ultérieurement afin de paralyser certains sites Web via les machines infectées. Pour corser le tout, le ver modifie l’historique des connexions du serveur, de sorte qu’il est assez difficile de s’apercevoir de la contamination.
Prévention efficace
Le SANS Institute met à disposition des administrateurs un utilitaire, Lionfind, qui permet de détecter la présence de Lion sur un serveur Linux. Mais aucun programme n’est encore disponible qui permettrait d’effacer toute trace de Lion sur la machine. Si une machine est atteinte, la solution - certes radicale - consiste donc, pour l’instant, à effacer le contenu du disque dur et à réinstaller une configuration saine. Pour éviter tout problème, le plus simple est encore de mettre à jour le logiciel BIND puisque les distributeurs Linux (Redhat, Debian, SuSE, Caldera, etc.) ont récemment corrigé les failles exploités par le ver. Mais Lion ne devrait pas s’arrêter là, puisque les spécialistes craignent déjà la propagation de versions Unix de la bestiole...
L’alerte du SANS Institute sur le ver Lion:
http://www.sans.org/y2k/lion.htm
L’article de Cnet:
http://news.cnet.com/news/0-1003-20...
Le ver Ramen analysé par le SANS Institute
http://www.sans.org/infosecFAQ/mali...