Piratage de 1,6 million de comptes Clash of King
Pour ne pas avoir corrigé une faille vieille de 3 ans, le jeu Clash of King se retrouve avec 1,6 million de comptes de joueurs dans la nature.
vBulletin, un framework (un outil Internet NDR) de forum très utilisé sur le réseau des réseau a subi à plusieurs reprises des failles de sécurité. Des « bugs » que s’empressent d’utiliser les pirates informatique. La dernière campagne malveillante officielle visant ce forum concerne la société Elex qui produit le jeu sur mobile « Clash of Kings ». Ce jeu est utilisé par des millions de joueurs sur les plateformes mobiles. Ces joueurs s’enregistrent sur le forum afin d’échanger avec d’autres utilisateurs.
Le pirate a profité d’une faille vBulletin connue pourtant depuis 2013. Comme le rappel Matthieu Dierick, de chez F5 Networks, les failles ne sont pas nouvelles et l’ANSSI avait déjà alerté les autorités au sujet de vBulletin. Bref, si vous ne patchez pas, il ne faut pas pleurer ! vBulletin n’est pas responsable du fait que les entreprises ne programment pas leur mise à jour.
Pour détecter si un serveur est vulnérable, il suffit de lancer une requête HTTP sur une liste de serveurs et d’attendre un code retour. Voici un exemple de requête utilisée pour détecter la vulnérabilité d’un serveur : http://[l’url du site]/ajax/api/hook/decodeArguments?arguments=O:12: »vB_dB_Result »:2{s:5: »*db »;O:11: »vB_Database »:1:{s:9: »functions »;a:1{s:11: »free_result »;s:6: »assert »;}}s:12: »*recordset »;s:20: »print_r(md5(92829)) »;}. Si le code retour contenait le hash 92829, alors l’espace numérique est vulnérable. C’est l’action qu’a orchestré le pirate de Clash of King. C’est la recherche qu’aurait du faire les équipes de Clash of King pour se protéger et sécuriser les utilisateurs.
Nous ne connaissons pas encore la vulnérabilité exploitée mais lors des dernières campagnes de piratage sur vBulletin, les pirates ont réussi à envoyer leur SHELL (Outil installé dans le serveur qui permet au pirate d’être maître de l’espace infiltré, NDR) sur le serveur et a exécuter des requêtes SQL en mode « root ». Pour cela, ils passaient par des fonctions PHP, par exemple la fonction system() qui permet l’exécution de commande shell.
Mot de passe hashé ? la belle affaire !
Les données volées concernent les identifiants avec mot de passe hashé, l’adresse mail, l’adresse IP et les tokens liés aux réseaux sociaux. Par hashé, comprenez que le mot de passe ne se lit plus directement (ZATAZ se transforme en hashé md5 par 79e35664717c21b96225d8d6ed4f0b16). Les utilisateurs du forum doivent donc changer leur mot de passe même si ceux-ci étaient rendus illisibles au niveau de la base de données. Le hash MD5 ne sertb à rien si un mot de passe trop simple a été enregistré. Reprenons mon exemple avec 79e35664717c21b96225d8d6ed4f0b16. Allez sur le site crackstation.net et rentrez 79e35664717c21b96225d8d6ed4f0b16. En quelques millièmes de secondes, le mot de passe hashé n’est plus illisible. Pour une meilleure sécurité, dirigez-vous plutôt vers bcrypt !
« Toute infrastructure de données doit être protégée par des mécanismes d’analyse de niveau 7 tels que les Firewall Applicatifs ou Web Application Firewall. Indique Matthieu Dierick (Il commercialise ce genre d’outil, NDR). Cela peut empêcher un pirate de lancer des commandes sur un serveur même si celui-ci est concerné par une faille de sécurité« . La politique de WAF empêche l’exécution de scripts, de commandes shell et de commandes PHP non autorisées.
En attendant, les 1,6 millions de clients impactés de Clash of King sont invités à changer leur mot de passe… surtout si ce dernier est aussi utilisé sur d’autres espaces web !
0Day vBulletin dans la nature ?
A noter que la société Trillian a alerté ses utilisateurs de l’utilisation d’un 0day vBulletin qui a touché l’un de ses services. La société ne sait pas vraiement quand a eu lieu l’attaque [on parle de décembre 2015, NDR] mais a fermé le site et le serveur contenant les forums impactés par la fuite de données. Dans les informations prises en main par le pirate : les données du blog de la société [sous WordPress] et « une poignée d’autres bases de données marketing qui contenait les noms d’utilisateurs Trillian et leurs adresses mail ». Les mots de passe étaient, eux aussi, en Md5. Le plus inquiétant à mon sens est que Trillian indique que les données « volées » étaient âgées de 3 à … 14 ans !