Après de nombreuses vagues d'attaques par injection SQL à l'encontre des serveurs Microsoft IIS utilisant ASP et SQL Server -la dernière en date ayant soufflé un vent de panique à cause de l'exploitation d'une vulnérabilité dans Adobe Flash (qui s'est finalement révélée ne pas être une 0-day)- les hackers chinois s'attaquent cette fois-ci au plus célèbre des frameworks de pen-testing.

C'est en effet vers un forum chinois sur lequel apparaissent des captures d'écran montrant un supposé "defacement" du site www.metasploit.com, que les visiteurs du dit-site étaient redirigés hier soir. Le pirate n'a pas cette fois-ci attaqué le serveur d'hébergement mutualisé, puisque Metasploit dispose de son propre serveur dédié.

Quelques investigations de la part de H D Moore, mainteneur du projet Metasploit et chercheur en sécurité informatique reconnu (ayant notamment récemment publié certaines clés ...), ont permis de déterminer qu'aucune compromission du serveur n'avait eu lieu.
Le pirate, disposant d'un serveur sur le même segment que celui hébergeant www.metasploit.com (l'histoire ne dit pas si ce serveur avait été compromis ou acquis légalement), n'a eu qu'à lancer une attaque de corruption de cache ARP entre le routeur et les différents serveurs du segment. Se plaçant ainsi en homme du milieu ("man in the middle"), celui-ci a pu aisément rediriger le trafic à destination des serveurs vers la destination de son choix.
L'incident a rapidement été corrigé par l'ajout de l'adresse MAC du routeur en statique dans la table ARP du serveur.

Même si les attaques contre le protocole ARP sont courantes et faciles à mettre en place, il est beaucoup plus commun de les voir appliquées sur le segment réseau de la machine client, plutôt que du côté du serveur. Espérons que les hébergeurs sauront mettre en place des solutions pour éviter à l'avenir ce type de désagrément.