Selon l'auteur de la découverte, les backdoors auraient été méticuleusement cachées soit par les développeurs de la société, soit par un hacker qui aurait compromis le code source des produits. Vu la criticité de l'affaire, l'auteur annonce ne pouvoir rendre public les détails techniques.

Info ou Intox ? Marc Maiffret, le célèbre hacker aux cheveux bleus fondateur de la firme s'emballe et dément au travers d'une réponse sur la même liste de diffusion. Maiffret affirme qu'après avoir effectué des audits de sécurité poussés sur les produits, SecureIIS et IRIS ne contiendrait aucune backdoor.

L'e-mail de Gusto a été envoyé via une adresse hotmail au travers d'un proxy http localise en Allemagne ce qui tend à douter de sa crédibilité. Nous vous fournirons de plus amples informations dans les prochains jours.

Versions impactées : Les versions 3.0 jusqu'a 3.7 (la dernière version en date) serait affectées par une backdoor.

Exploit : En forgeant un paquet UDP particulier à destination d'un hote IRIS avec des champs IP spécifiques renseignés et une valeur « magique » sur un offset particulier dans le champs de données.

Conséquence : L'attaquant obtiendrait un shell sur le port source specifie dans le datagramme UDP.

SecureIIS

Versions impactees: Les versions 2.0 et toutes les versions posterieures seraient impactées par le probleme. La version 1.0 serait en revanche saine.

Exploit: L'exploit consisterait à envoyer une requete http de type HEAD en utilisant un parametre particuler comme URL :
HEAD /< chaine constante de 24 octets >/< PORT >_< ADRESSE >.ASP HTTP/1.1

Ou PORT est le numero de port sur lequel sera attache de Shell et ADRESSE, l'adresse pour la priorité (0 pour toutes).