1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 27 octobre et le 03 novembre 2005.
1.2 Incidents traités
1.2.1 Défiguration d'un site web
Un cas de défiguration de site web a été traité par le CERTA. Les auteurs de cette défiguration ont profité d'un problème de configuration sur la machine (droits en écriture) pour ajouter une page web.
1.2.2 Compromission d'un serveur web
Un cas de compromission d'un serveur web est en cours de traitement. La faille exploitée affecte le forum phpBB. Les intrus ont ensuite installé une page imitant un site de commerce en ligne (« phishing »).
Il est à noter que ces forums vulnérables sont faciles à trouver en utilisant des techniques de « Google Hacking ».
Recommandation :
Il est conseillé pour les administrateurs d'utiliser ces techniques de « Google Hacking » pour rechercher d'éventuelles vulnérabilités sur les serveurs web de leur réseau.
1.2.3 Infection virale
Un de nos correspondants nous a signalé l'infection virale d'une de ses machines pourtant équipée d'un antivirus à jour. L'infection a été détectée suite au comportement anormal de la machine : perte des icônes et de la barre des tâches et ressources système complètement saturées. Les administrateurs de la machine ont découvert l'origine de l'infection, et ont testé le fichier infecté avec 6 antivirus. Seuls deux d'entre eux ont détecté un virus. Le fichier a ensuite été transmis à un éditeur d'antivirus qu'il soit intégré à la base de signatures.
Recommandation :
Cet incident est l'illustration que la lutte antivirale ne peut pas reposer uniquement sur l'antivirus. Une bonne remontée des informations de la part des utilisateurs vers les administrateurs est essentielle pour le traitement de ce type d'incidents.
1.2.4 Compromission d'un blog
Le CERTA a été informé de la compromission d'un « blog » (journal en ligne) par l'exploitation d'une vulnérabilité de sphpblog-0.4.0. Celle-ci permet de récupérer le mot de passe (sous forme chiffrée) d'administration du blog. Ce mot de passe était trivial, et a probablement été « cassé » à l'aide d'outils spécifiques. L'utilisation de ce mot de passe d'administration du blog a permis d'ajouter de nouvelles pages, notamment une page de « phishing ».
2 Rappel des avis et mises à jour émis
Durant la période du 24 au 28 octobre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-422 : Vulnérabilité dans phpMyAdmin
- CERTA-2005-AVI-423 : Vulnérabilités Skype
- CERTA-2005-AVI-424 : Vulnérabilité dans Oracle pour HP Openview
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-394-001 : Vulnérabilité dans Microsoft DirectX
(ajout de références aux bulletins de sécurité Microsoft)
- CERTA-2005-AVI-403-001 : Multiples vulnérabilités dans Microsoft Windows
(ajout du bulletin de sécurité #909444 Microsoft)