1 Activité en cours
1.1 Ports observés
Le tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 19 et le 26 mai 2005.
1.2 Incidents traités
Le CERTA a traité quatre cas de compromission de serveurs Linux. Pour ces quatre cas, c’est l’utilisation d’un mot de passe trivial pour le compte root qui a permis l’intrusion sur les serveurs en SSH. Ce type d’attaque est fréquent depuis août 2004 (voir le bulletin d’actualité CERTA-2004-ACT-014).
Le CERTA a pu analyser le disque dur d’un de ces serveurs, et a mis en évidence l’installation d’un bot irc (programme se connectant automatiquement sur des serveurs IRC). L’analyse des journaux a pu montrer que ces attaques étaient fréquentes, et que la machine subissait une nouvelle compromission tous les deux jours environ. Les trois autres serveurs ont été utilisés en rebond pour attaquer d’autres machines sur l’Internet.
Il est important de préciser que ces attaques peuvent se généraliser à tous les services nécessitant une authentification (telnet, radmin, etc).
Recommandation :
Afin d’éviter les compromissions de ce type, il convient de restreindre les connexions distantes à des adresses IP déterminées, et de veiller à n’utiliser que des mots de passe forts. Le CERTA vous recommande par ailleurs la lecture de la note d’information CERTA-2005-INF-001 (« Les mots de passe ») disponible à l’adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001/index.html
2 Rappel des avis et mises à jour émis
Durant la période du 23 au 27 mai 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-168 : Vulnérabilité dans les produits Zone Labs
- CERTA-2005-AVI-169 : Multiples vulnérabilités dans Kerio Mail Server
- CERTA-2005-AVI-170 : Vulnérabilité dans FreeRADIUS
- CERTA-2005-AVI-171 : Multiples vulnérabilités de Novell ZENworks Remote Management
- CERTA-2005-AVI-172 : Vulnérabilité dans IBM HTTP Server
- CERTA-2005-AVI-173 : Vulnérabilité de l’option TCP Timestamp sur plusieurs produits Cisco
- CERTA-2005-AVI-174 : Multiples failles des noyaux Linux
- CERTA-2005-AVI-175 : Vulnérabilité du DNS de plusieurs produits Cisco
- CERTA-2005-AVI-176 : Vulnérabilité dans plusieurs produits de Computer Associates
- CERTA-2005-AVI-177 : Multiples vulnérabilités dans Mac OS X
- CERTA-2005-AVI-178 : Multiples vulnérabilités d’Ethereal
- CERTA-2005-AVI-179 : Vulnérabilité de ImageMagick
- CERTA-2005-AVI-180 : Vulnérabilités dans Qpopper
- CERTA-2005-AVI-181 : Mauvais support du protocole DNS
- CERTA-2005-AVI-182 : Vulnérabilité dans automountd de SUN Solaris
- CERTA-2005-AVI-183 : Vulnérabiltés dans gzip
- CERTA-2005-AVI-184 : Vulnérabilité de kommander
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-119-001 : Vulnérabilité du noyau Linux
(ajout des bulletins de sécurité Red Hat, SuSE et de la référence CVE)
- CERTA-2005-AVI-037-002 : Vulnérabilité de Evolution
(ajout des références aux bulletins de sécurité RedHat RHSA-2005:238 et RHSA-2005:397)
- CERTA-2005-AVI-104-008 : Vulnérabilité de libXpm
(ajout référence au bulletin de sécurité Red Hat (RHSA-2005:473) relatif à lesstif)
- CERTA-2005-AVI-126-001 : Multiples vulnérabilités dans PHP
(ajout des références aux bulletins de sécurité Debian, Mandriva, Gentoo et RedHat)
- CERTA-2005-AVI-141-002 : Vulnérabilité dans kdelibs
(ajout de références aux bulletins de sécurité Red Hat et au dictionnaire de vulnérabilité CVE)
- CERTA-2005-AVI-173-001 : Vulnérabilité de l’option TCP Timestamp sur plusieurs produits Cisco
(ajout de la référence CVE)
- CERTA-2005-AVI-174-001 : Multiples failles des noyaux Linux
(ajout du bulletin de sécurité Red Hat RHSA-2005:472)
