Le forum du jeu mobile de stratégie populaire Clash of Kings, qui compte entre 50 et 100 millions d’installations sur la plateforme Android à elle toute seule, a été victime d’un piratage. Le pirate, qui a souhaité garder l’anonymat, a affirmé au moteur de recherche LeakedSource avoir pu être en mesure de mettre la main sur une base de données contenant des noms d’utilisateurs, des adresses mails et IP, des données Facebook et d’autres tokens de près de 1,6 million d’utilisateurs.Pour y parvenir, le pirate a exploité une vulnérabilité du forum connue, qui tournait sur une ancienne version de vBulletin. Cette vulnérabilité est connue depuis 2013 comme l’explique Matthieu Dierick, Ingénieur avant-vente chez F5 Networks : vBulletin, un framework de forum très utilisé sur internet, a subi à plusieurs reprises des failles de sécurité. La dernière campagne de piratage officielle sur ce forum concerne la société Elex qui produit le jeu sur mobile "Clash of Kings". Ce jeu est utilisé par des millions de joueurs sur les plateformes mobiles. Ces joueurs s'enregistrent sur le forum du jeu afin d'échanger avec les autres joueurs.
Ce forum est hébergé sur un framework vBulletin. Le hackeur a profité d'une faille connue depuis 2013. L'ANSSI, en 2012, avait déjà alerté les autorités d'une faille sur vBulletin
Pour détecter si un serveur est vulnérable, il suffit de lancer une requête HTTP sur une liste de serveurs et d'attendre un code retour. Voici un exemple de requête utilisée pour détecter la vulnérabilité d'un serveur :
| Code : | Sélectionner tout |
http://[REMOVED]/ajax/api/hook/decodeArguments?arguments=O:12:"vB_dB_Result":2{s:5:"*db";O:11:"vB_Database":1:{s:9:"functions";a:1{s:11:"free_result";s:6:"assert";}}s:12:"*recordset";s:20:"print_r(md5(233333))";}
Si le code retour contenait le hash 233333, alors le serveur était vulnérable.
Les données volées concernent les identifiants avec mot de passe (hashé), l'adresse email, l'adresse IP et les tokens liés aux réseaux sociaux. Les utilisateurs du forum doivent donc changer leur mot de passe même si ceux-ci étaient hashés au niveau de la base de données. Un mot de passe trop simple peut en effet être "dé-hashé" très facilement.
Nous ne connaissons pas encore la vulnérabilité exploitée, mais lors des dernières campagnes de piratage sur vBulletin, les pirates ont réussi à envoyer leur SHELL sur le serveur et à exécuter des requêtes SQL en mode "root". Pour cela, ils passaient par des fonctions PHP, par exemple la fonction system() qui permet l'exécution de commande shell.
Cela rappelle que toute infrastructure de données doit être protégée par des mécanismes d'analyse de niveau 7 tels que les Firewall Applicatifs ou Web Application Firewall. Cela empêcherait tout hacker de lancer des commandes sur un serveur même si celui-ci est concerné par une faille de sécurité. La politique de WAF empêche l'exécution de scripts, de commandes shell et de commandes PHP non autorisées ».
Pour Travis Smith, chercheur en sécurité senior pour le compte de Tripwire, « exposer des applications vulnérables sur internet c’est comme marcher dans une salle avec un t-shirt où il y a marqué dans le dos “frappez-moi” ». Et de continuer en assurant que « les pirates peuvent rechercher rapidement sur internet des systèmes présentant une vulnérabilité connue, puis utiliser des outils facilement disponibles pour les exploiter et prendre le contrôle de ces systèmes ».
Source : IB Times, Clash of Kings (Google Play)
Voir aussi :
Un piratage des forums Ubuntu a exposé 2 millions d'utilisateurs, le pirate a eu accès à une table où étaient sauvegardées des adresses IP Des pirates dérobent plus de 3 milliards de dollars à des entreprises en recourant à la fraude au PDG USA : un juge statue que le FBI peut pirater un ordinateur en toute légalité, estimant qu'il ne s'agit pas d'une violation de la constitution US 
