1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 16 et le 23 juin 2005.
Nous avons ajouté le port 10000/tcp à notre surveillance, suite à la publication d'un outil exploitant automatiquement une des vulnérabilités de Veritas Backup Exec décrites dans l'avis CERTA-2005-AVI-229. Il est urgent de mettre à jour cet applicatif.
1.2 Activité port 139/tcp et 80/tcp
Le CERTA constate encore une forte activité sur le port 139/tcp, accompagnée d'un trafic un peu plus faible sur le port 80/tcp. Un ver, nommé Tdiserv par un éditeur d'antivirus, a récemment été découvert. Ce ver aurait la particularité de se propager par les partages réseau. Il installerait un rootkit (ensemble d'outils dont le but est de camoufler un piratage), ce qui rendrait sa détection difficile. En revanche, les machines infectées ont un comportement caractéristique : elles tentent de nombreuses connexions vers différentes destinations sur leurs ports 139/tcp et 80/tcp.
Recommandation
Il est conseillé de vérifier qu'aucune machine de votre réseau ne se comporte tel que décrit ci-dessus. Si vous constatiez un tel trafic, contactez le CERTA.
2 Publication de nombreux outils d'attaque
De nombreux outils d'attaque concernant des vulnérabilités ont récemment été mis à disposition sur l'Internet. Ceux-ci concernent les failles suivantes :
- phpBB versions 2.0.15 et antérieures (voir CERTA-2005-AVI-237). La faille est très proche celle qui avait été décrite dans l'alerte CERTA-2004-ALE-014. Cet outil est déjà utilisé.
- Prise en compte de NNTP par Microsoft Outlook Express (voir CERTA-2005-AVI-210). L'exploitation repose sur l'envoi d'un message contenant un lien cliquable avec le protocole news://.
- Application Message Queuing (voir CERTA-2005-AVI-137).
Recommandation
Il est urgent d'appliquer les correctifs indiqués dans les avis cités ci-dessus.
3 Exploitation de la faille autologin de phpBB
Une des failles régulièrement exploitées de phpBB est celle affectant autologin dans le fichier sessions.php (voir avis CERTA-2005-AVI-096). La particularité de cette faille est que son exploitation ne laisse pas des traces flagrantes dans les journaux.
Voici un exemple de trace laissée par une tentative d'exploitation de cette faille :
adresse_IP_attaquant - - [30/June/2005:15:32:17 +0200] "GET /forum/admin/admin_board.php HTTP/1.1" 200 16796 - "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Le succès de la compromission se traduira par une ligne du type :
adresse_IP_attaquant - - [30/June/2005:15:32:26 +0200] "POST /forum/admin/admin_board.php HTTP/1.1" 200 1700 - "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Recommandation
Il est conseillé d'examiner régulièrement les journaux, et de signaler les tentatives d'exploitation de cette faille (réussies ou non) au CERTA.
4 Rappel des avis et mises à jour émis
Durant la période du 20 au 24 juin 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-226 : Vulnérabilité dans l'utilitaire sudo
- CERTA-2005-AVI-227 : Multiples vulnérabilités de Cacti
- CERTA-2005-AVI-228 : Vulnérabilité des produits webmail de SUN
- CERTA-2005-AVI-229 : Multiples vulnérabilités de Veritas Backup Exec
- CERTA-2005-AVI-230 : Multiples vulnérabilités des lecteurs RealPlayer
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-202-003 : Multiples vulnérabilités de Gaim
(ajout des références aux bulletins de sécurité FreeBSD)
- CERTA-2005-AVI-209-001 : Vulnérabilités des versions Sun de Java 2 Standard Edition
(ajout des références aux bulletins de sécurité de Blackdown Java-Linux et Gentoo)
- CERTA-2005-AVI-220-001 : Vulnérabilité dans des produits Adobe
(ajout de la référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-224-001 : Vulnérabilité de SquirrelMail
(ajout de la référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-225-001 : Vulnérabilité dans SpamAssassin
(modification de la référence CVE et ajout de la référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-069-003 : Vulnérabilité de cpio
(ajout de la référence au bulletin de sécurité Gentoo)
- CERTA-2005-AVI-225-002 : Vulnérabilité dans SpamAssassin
(ajout de la référence au bulletin de sécurité Gentoo)
- CERTA-2005-AVI-223-001 : Vulnérabilité de Opera
(ajout de la référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-224-002 : Vulnérabilité de SquirrelMail
(ajout de la référence au bulletin de sécurité Gentoo)
- CERTA-2005-AVI-085-003 : Vulnérabilité de unace
(ajout de la référence au bulletin de sécurité SUSE)
- CERTA-2005-AVI-209-002 : Vulnérabilités des versions Sun de Java 2 Standard Edition
(ajout de la référence au bulletin de sécurité de SUSE et ajout de la référence CVE CAN-2005-1974)
- CERTA-2005-AVI-223-002 : Vulnérabilité de Opera
(ajout de la référence au bulletin de sécurité SUSE)
- CERTA-2005-AVI-225-003 : Vulnérabilité dans SpamAssassin
(ajout de la référence au bulletin de sécurité SUSE)
- CERTA-2005-AVI-226-001 : Vulnérabilité dans l'utilitaire sudo
(ajout référence CVE. Ajout bulletin de sécurité Mandriva. Ajout références mise-à-jour Fedora)
- CERTA-2005-AVI-226-002 : Vulnérabilité dans l'utilitaire sudo
(ajout de la référence au bulletin de sécurité Gentoo)
- CERTA-2004-AVI-319-005 : Multiples vulnérabilités dans gdk-pixbuf
(ajout référence au bulletin de sécurité #101776 de Sun)
- CERTA-2005-AVI-170-003 : Vulnérabilité dans FreeRADIUS
(ajout du bulletin Red Hat RHSA-2005:524)
- CERTA-2005-AVI-225-004 : Vulnérabilité dans SpamAssassin
(ajout de la référence au bulletin de sécurité RHSA-2005-498 de Red Hat)