Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2001-ALE-008

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 9 août 2001
No CERTA-2001-ALE-008-006

Affaire suivie par :

CERTA

BULLETIN D'ALERTE DU CERTA

Objet : Propagation du ver « Code Red »


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2001-ALE-008

Gestion du document


Tableau 1: gestion du document
Référence CERTA-2001-ALE-008-005
Titre Propagation du ver « Code Red »
Date de la première version 18 juillet 2001
Date de la dernière version 13 août 2001
Source(s) Bugtraq
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

1 Risque

Compromission des serveurs et risque de déni de service.

2 Systèmes affectés

  • Tous les systèmes avec Microsoft Index Server 2.0 ou Indexing Service dans Microsoft Windows 2000 sur lesquels les correctifs indiqués dans l'avis CERTA-2001-AVI-064 n'ont pas été appliqués.
  • Tous les matériels qui embarquent le logiciel ci-dessus, en particulier : Cisco CallManager, Cisco Unity Server, Cisco uOne, Cisco ICS7750, voire d'autre produits Cisco (cf. l'avis Cisco mentionné dans le paragraphe consacré à la documentation concernant cette alerte.).
  • Certains routeurs Cisco ou serveurs WEB subissent des effets de bord dû au balayage agressif exécuté par le ver.

3 Résumé

Un nouveau ver se propage en exploitant une faille du serveur d'indexation de Windows.

4 Description

Un ver se propage en exploitant une faille dans le serveur d'indexation de Windows découverte en juin 2001. Cette faille permet à un utilisateur malveillant d'exécuter à distance des commandes sur un serveur IIS (Internet Information Server) vulnérable.

Lorsqu'une machine est compromise par ce ver, la page d'accueil du site web peut être remplacée par le texte « Welcome to http://www.worm.com ! Hacked By Chinese! » écrit en rouge. L'absence de ce texte n'est pas une garantie de ne pas être compromis.

De plus, ce ver parcourt des adresses IP à la recherche de serveurs IIS vulnérables afin de les compromettre. Pour cela, le ver balaie des adresses IP choisies au hasard.

L'implémentation du tirage aléatoire des adresses IP dans la première version du ver contient une légère erreur. Il en résulte que chaque machine va effectuer exactement le même tirage, et par conséquent, toutes les machines compromises vont attaquer les mêmes cibles, ce qui peut entraîner un déni de service. Ainsi, une machine qui serait compromise et réinstallée sans mise à jour du serveur IIS serait piratée de nouveau assez rapidement.

Une nouvelle version du ver aurait corrigé cette erreur. Ainsi tout serveur IIS qui n'a pas appliqué le correctif, quelque soit son adresse IP, pourrait être vulnérable aux nouvelles versions du ver.

La compromission d'un serveur IIS se passe par le biais d'un URL astucieusement construit qui ressemble à :

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNN[divers caract�res en unicode]=a  HTTP/1.0

Certains sites français qui analysent leur journaux de connexions ont constaté en juillet plusieurs milliers de tentatives de piratages de ce type sur leurs serveurs. Ceci laisse entendre qu'un nombre très important de serveurs IIS ont été contaminés dans le monde, ce que semble confirmer l'avis CA-2001-23 du CERT/CC. Des serveurs français ont été contaminés.

De plus, il arrive parfois que le ver entraîne l'arrêt de la machine compromise après avoir consommé toutes les ressources du système.

Les versions du ver en circulation déjà identifiées ont des phases d'infection qui commencent le premier jour du mois d'août.

Le fonctionnement et l'administration des produits Cisco peuvent être compromis par le ver.

Depuis le samedi 04 août, on peut observer une nouvelle version du ver "Code Red". Ce ver utilise la même faille que la version initiale, mais installe en plus une porte dérobée sur le serveur. Il est alors possible d'exécuter du code à distance sur la machine, et d'accéder aux disques C: et D: de l'ordinateur.

En effet, ce ver fait tourner un faux processus "explorer.exe", qui permet à un pirate de prendre la main sur la machine à distance. Deux fichiers "explorer.exe" sont créés, ainsi que 4 fichiers "Root.exe".

De plus, le ver modifie la valeurs de certaines clés dans la base de registres.

Cette nouvelle version utilise un URL très proche de l'URL ci-dessus, utilisé dans la version initale, où les "N" sont remplacés par des "X" :

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX[divers caract�res en unicode]=a  HTTP/1.0

Contrairement à la première version, l'infection par ce ver résiste au simple redémarrage de l'ordinateur.

A mesure que le ver se propage, de nombreuses machines compromises peuvent tenter de contaminer un serveur WEB. Quelque soit le logiciel derrière le serveur WEB, IIS ou non, il peut y avoir des effets de bords associés à la charge engendrée par le traitement des URL correspondant à Code Red. Par exemple, les sites qui font un traitement particulier sur toutes les erreurs 404, peuvent être victime d'un déni de service dû à la fréquence de ce traitement.

5 Solution

Une nouvelle vague d'attaque pourrait avoir lieu dès le premier jour du mois d'août. Son ampleur dépendra notamment du nombre de machines déjà contaminées qui n'ont pas été corrigées et du nombre de machines encore vulnérables. Cependant, la virulence constatée lors du mois de juillet invite à être extrêmement prudent et à appliquer immédiatement les mesures décrites ci-dessous.

5.1 Protégez-vous

Appliquez les correctifs indiqués dans l'avis CERTA-2001-AVI-064 et dans l'avis Cisco. Les patchs pour les versions françaises sont maintenant accessibles.

Si vous vous connectez à Internet par un modem, le cable ou l'ADSL dans le but unique de consulter votre mél, de lire les forums, de naviguer, etc. mais que vous n'offrez pas un site WEB, il se peut néanmoins que le logiciel IIS soit lancé sur votre ordinateur (configuration par défaut par exemple), il est prudent dans ce cas de couper IIS le temps de la connexion afin de ne pas être compromis.

5.2 Nettoyez

Le seul moyen vraiment sûr pour se débarasser de ce ver est de réinstaller complétement le système.

Si cela n'est pas possible, il existe une procédure de nettoyage décrite par Symantec :

http://www.sarc.com/avcenter/venc/data/codered.v3.html

Mais si votre serveur a été compromis, il se peut qu'une personne ait déjà installé des fichiers sur la machine, ou modifié des clés de la base de registres, que la procédure de nettoyage laissera en état.

5.3 Alertez

Afin de nettoyer le parc de machines infectées, il est important de pouvoir prévenir les administrateurs de chacunes des machines infectées. Si vous avez un serveur WEB, le journal des connexions peut aider à découvrir ces machines compromises.

On peut rechercher des traces de ce type d'attaques dans les journaux de connexions d'un serveur WEB mis en œuvre par le logiciel Apache grâce à la commande : grep -E "GET /[^.]*.id(a|q)\?" access_log.

Un détecteur de tentatives d'intrusion (IDS) peut aussi aider à découvrir les (tentatives d')attaques. Les IDS peuvent aider à détecter les attaques faites par le ver Code Red ou des attaques similaires. L'IDS ne vous protégera pas contre l'attaque, seul l'application du correctif peut vous protéger. Le site ArachNIDS, donne des signatures d'agressions pour quelques IDS.

Si vous constatez de tels URL dans vos journaux, veuillez prendre contact, sans délai, avec le CERTA.

6 Documentation

Gestion détaillée du document

18 juillet 2001
version initiale.
18 juillet 2001
correction de la référence à l'avis.
20 juillet 2001
ajout de la vulnérabilité sous CISCO.
30 juillet 2001
mise à jour.
06 août 2001
apparition d'une nouvelle version du ver "Code Red".
07 août 2001
mise à jour de la procédure de nettoyage.
09 août 2001
effets de bord sur d'autres serveurs WEB, le correctif de Microsoft pour NT 4.0 n'existe pas en Français, couper IIS lorsqu'on se connecte à Internet uniquement pour naviguer.
13 août 2001
le correctif de Microsoft pour NT 4.0 est accessible en français.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22