S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 juin 2005
N° CERTA-2005-ACT-023
Affaire suivie par: CERT-FR
le 10 juin 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-23

Gestion du document

Référence CERTA-2005-ACT-023
Titre Bulletin d’actualité 2005-23
Date de la première version 10 juin 2005
Date de la dernière version 03 juin 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 ainsi que la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constaté sur deux dispositifs de filtrage, entre le 26 mai et le 2 juin 2005.

1.2 Incidents traités

1.2.1 Défiguration de site web

le certa a traité un cas de défiguration d’un site web. L’étude est en cours mais la faille exploitée n’est pas encore connue.

1.2.2 Infections par MyTob

Un des correspondants du CERTA a informé de l’infection d’une trentaine de postes par le ver MyTob. Il s’agit d’une version différente de celle dont nous avons déjà parlé dans le bulletin d’acutalité CERTA-2005-ACT-021, et qui avait fait l’objet de l’alerte CERTA-2005-ALE-004.

Alors que la première version de MyTob que nous avions rencontrée se caractérisait par des tentatives de connexion sur la machine irc.blackcarder.net sur le port 7000/tcp, cette nouvelle version effectue des connexions vers la machine 195.13.58.92 (195-13-58-92.oxyd.net) sur le port 6667/tcp.

Recommandation :

L’afflux de nouvelles versions montre bien que la défense ne peut pas reposer uniquement sur les antivirus, même mis à jour, car ces derniers seront tôt ou tard confrontés à une version qui ne sera pas reconnue. Un filtrage en sortie, en interdisant toutes les connexions sauf celles explicitement autorisées, est plus approprié pour empêcher le bon fonctionnement des chevaux de Troie véhiculés par les vers. Une lecture régulière des journaux des dispositifs de filtrage permet de repérer les machines infectées. Le CERTA peut vous assister dans cette analyse.

2 Utilisation du service d’affichage des messages 1026/udp et 1027/udp

Nous constatons régulièrement la présence des ports 1026/udp et 1027/udp dans les paquets le plus souvent rejetés par les équipements de filtrage. Ces deux ports correspondent à l’utilisation du service d’affichage des messages. Celui-ci permet l’envoi de messages instantanés apparaissant sur le bureau du destinataire sous forme d’une boîte de dialogue. Les messages les plus fréquemment rencontrés sont de type pourriel (spam). Cependant, il arrive que certains aient une autre finalité. En effet, des messages envoyés se présentant sous la forme de faux messages de sécurité incitent l’utilisateur à télécharger un correctif sur un site distant puis de l’exécuter. Or, ce pseudo-correctif n’est en fait qu’un cheval de Troie. L’utilisateur croyant rendre sa machine plus sûre vient en fait de la compromettre. Dans certains cas, le site distant indiqué dans le pourriel est un site de phishing.

Recommandation :

En premier lieu, il convient toujours d’interdire l’accès à ces ports depuis l’Internet. Il est également recommandé de désactiver ce service à moins qu’il ne soit d’une quelconque utilité. Enfin, lorsque vous effectuez une mise à jour de votre système d’exploitation ou d’un logiciel tiers, il est impératif de s’assurer dans la mesure du possible que ce correctif a bien pour origine l’éditeur du logiciel.

3 Rappel des avis et mises à jour émis

Durant la période du 27 mai au 3 juin 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-185 : Multiples vulnérabilités de Ipswitch Imail ;
  • CERTA-2005-AVI-186 : Multiples vulnérabilités dans Mailutils ;
  • CERTA-2005-AVI-187 : Vulnérabilité des routeurs Nortel ;
  • CERTA-2005-AVI-188 : Vulnérabilité dans bzip2 ;
  • CERTA-2005-AVI-189 : Vulnérabilité dans Apple Quicktime ;
  • CERTA-2005-AVI-190 : Vulnérabilité de divers outils gérant le format ELF ;
  • CERTA-2005-AVI-191 : Vulnérabilités dans HP Openview Gestion des applications RADIA.

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-165-001 : Vulnérabilité dans Squid

    (ajout des références aux bulletins de sécurité FreeBSD et OpenBSD) ;

  • CERTA-2004-AVI-034-007 : Multiples vulnérabilités de XFree86 et XSun

    (Nouveau titre. Ajout référence au bulletin de sécurité de Sun) ;

  • CERTA-2005-AVI-003-007 : Multiples vulnérabilités de libtiff

    (ajout référence au bulletin de sécurité #57769 de Sun) ;

  • CERTA-2005-AVI-124-003 : Multiples vulnérabilités dans le client Telnet

    (ajout de la référence au bulletin de sécurité Debian DSA-731) ;

  • CERTA-2005-AVI-131-001 : Vulnérabilité de WU-FTPD

    (ajout référence au bulletin de sécurité de Sun);

  • CERTA-2005-AVI-157-001 : Vulnérabilité dans Xine

    (ajout des bulletins de sécurités Mandriva et Novell) ;

  • CERTA-2005-AVI-161-001 : Vulnérabilité dans phpBB

    (Ajout de la référence CVE CAN-2005-1193) ;

  • CERTA-2005-AVI-163-001 : Multiples vulnérabilités de gaim

    (ajout des bulletins de sécurité pour OpenBSD et FreeBSD) ;

  • CERTA-2005-AVI-166-001 : Multiples vulnérabilités dans PostgreSQL

    (ajout des références aux bulletins de sécurité Mandriva et RedHat) ;

  • CERTA-2005-AVI-170-001 : Vulnérabilité dans FreeRADIUS

    (ajout du bulletin VuXML sur FreeBSD du 22 mai 2005) ;

  • CERTA-2005-AVI-183-001 : Vulnérabiltés dans gzip

    (ajout de la référence au bulletin de sécurité Mandriva) ;

  • CERTA-2005-AVI-188-001 : Multiples vulnérabilités dans bzip2

    (ajout d’une nouvelle vulnérabilité, de la référence CVE et des références aux bulletins de sécurité Mandriva et Debian).

Gestion détaillée du document

    le 03 juin 2005
    version initiale.