1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 25 août et le 01 septembre 2005.
1.2 Incidents traités
Le CERTA a traité trois cas de défiguration de site web. Pour l'un de ces deux cas, la vulnérabilité exploitée semble être une faille de Web Calendar. Les autres cas sont en cours de résolution.
Par ailleurs, un cas concernant plusieurs serveurs compromis dans le même domaine est en cours de traitement. L'origine de la compromission semble être de l'exploitation d'un mot de passe faible pour SSH. Ce type d'incidents est très fréquent.
Recommandation :
Le CERTA suggère la lecture de la note d'information CERTA-2005-INF-001 avant la mise en place de tout service requérant une authentification par mot de passe. Ce document est disponible à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001
2 Vulnérabilité sur DameWare
Le CERTA a émis un avis sur DameWare Mini Remote Control (avis CERTA-2005-AVI-326). Cette application, qui fait à la fois office de client et de serveur, permet d'administrer à distance des postes sous Windows. Une précédente vulnérabilité (voir avis CERTA-2003-AVI-214) de cette application avait été largement exploitée (l'automatisation de l'exploitation de cette faille est souvent intégrée dans les chevaux de Troie, notamment ceux des « familles » rbot, sdbot, phatbot --voir alerte CERTA-2004-ALE-003--).
Cette vulnérabilité a un caractère particulier : le serveur web de l'éditeur localisé en Louisiane n'est pas joignable, ce qui ne permet pas de télécharger les correctifs.
Le CERTA a donc indiqué le site www.dameware.co.uk qui semble être un distributeur du produit DameWare, mais il convient de vérifier que les correctifs sont à jour.
Des outils exploitant automatiquement cette vulnérabilité existent déjà et sont disponibles sur l'Internet.
Recommandation :
Il est conseillé de lire la note d'information CERTA-2001-INF-004 (« acquisition des correctifs ») disponible à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-004
3 Rappel des avis et mises à jour émis
Durant la période du 22 au 26 août 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-318 : Vulnérabilités dans Computer Associates Message Queuing
- CERTA-2005-AVI-319 : Vulnérabilité dans PEAR XML_RPC (PHP)
- CERTA-2005-AVI-320 : Vulnérabilité dans Cisco IDS Management Software
- CERTA-2005-AVI-321 : Vulnérabilité dans le client de messagerie electronique ELM
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-315-002 : Vulnérabilité dans Adobe Acrobat
(ajout des Bulletins de sécurité Gentoo et Suse)
- CERTA-2005-AVI-201-001 : Multiples vulnérabilités sur BEA Weblogic
(modification du correctif pour la vulnérabilité de type Cross Site Scripting)