Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-035

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 01 septembre 2006
No CERTA-2006-ACT-035

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-35


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035/

2 Incidents traités

2.1 Défigurations

Le CERTA a traité cette semaine deux cas de défiguration de site web. Dans les deux cas, les auteurs des faits ont profité de droits en écriture laissés accidentellement par l'administrateur. Pour l'une de ces défigurations, l'analyse des journaux a permis de montrer que de nombreuses attaques avaient eu lieu sur plusieurs jours en exploitant toujours la même vulnérabilité. Des fichiers ont été déposés sur le site vulnérable.

Des droits en écriture sont parfois laissés afin de faciliter les mises à jour des contenus des sites web. Il est important dans ce cas de restreindre les adresses IPs accédant à cette fonctionnalité, ou déployer des procédures d'authentification.

2.2 Ver ciblant MS06-040

Le CERTA a été informé de la compromission de nombreuses machines en France. Au total, 26000 adresses IPs distinctes ont été identifiées (en tenant compte de l'adressage dynamique, ce chiffre représente probablement moins de machines physiques infectées).

Le ver à l'origine de ces compromissions avait été signalé dans le bulletin d'actualité CERTA-2006-ACT-033. Il porte différents noms : Graweg, MocBot, W32.Wargbot, W32/SDbot, W32/Vanebot, W32.Randex. Deux enregistrements dans la base CME (Common Malware Enumeration : http://cme.mitre.org) lui sont dédiés : CME-762 et CME-482.

Plusieurs variantes de celui-ci sont identifiées, dont le comportement consiste à établir des connexions vers des serveurs à l'étranger sur le port 18067/TCP ou 4915/TCP.

Recommandations

Le CERTA recommande d'appliquer les correctifs de sécurité mis à disposition par Microsoft dans le bulletin MS06-040 (CERTA-2006-AVI-338). D'autre part, le CERTA suggère de surveiller dans les journaux des pare-feux d'éventuelles connexions vers les ports 18067/TCP et 4915/TCP.

3 Rappel des avis et mises à jour émis

Durant la période du 25 au 31 août 2006, le CERTA a émis l'alerte suivante :

  • CERTA-2006-ALE-011 : Multiples vulnérabilités de produits Microsoft

Pendant la même période, le CERTA a publié les avis suivants :

  • CERTA-2006-AVI-372 : Vulnérabilité dan Xsan Filesystem
  • CERTA-2006-AVI-373 : Multiples vulnérabilités dans Wireshark (Ethereal)
  • CERTA-2006-AVI-374 : Vulnérabilités dans VAIO Media Server
  • CERTA-2006-AVI-375 : Multiples vulnérabilités dans Joomla!
  • CERTA-2006-AVI-376 : Vulnérabilité dans isakmpd sous OpenBSD
  • CERTA-2006-AVI-377 : Vulnérabilité dans XOrg X11 et des bibliothèques associées
  • CERTA-2006-AVI-378 : Vulnérabilité dans Sendmail
  • CERTA-2006-AVI-379 : Vulnérabilité dans solaris
  • CERTA-2006-AVI-380 : Multiples vulnérabilités des Imprimantes Dell
  • CERTA-2006-AVI-381 : Multiples vulnérabilités dans le noyau Linux

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-340-001 : Multiples vulnérabilités dans Internet Explorer

    (modification liée à la seconde version du correctif)


Liste des tableaux

Gestion détaillée du document

01 septembre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-21