S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 novembre 2005
N° CERTA-2005-ACT-044
Affaire suivie par: CERT-FR
le 04 novembre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-44

Gestion du document

Référence CERTA-2005-ACT-044
Titre Bulletin d’actualité 2005-44
Date de la première version 04 novembre 2005
Date de la dernière version 04 novembre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 27 octobre et le 03 novembre 2005.

1.2 Incidents traités

1.2.1 Défiguration d’un site web

Un cas de défiguration de site web a été traité par le CERTA. Les auteurs de cette défiguration ont profité d’un problème de configuration sur la machine (droits en écriture) pour ajouter une page web.

1.2.2 Compromission d’un serveur web

Un cas de compromission d’un serveur web est en cours de traitement. La faille exploitée affecte le forum phpBB. Les intrus ont ensuite installé une page imitant un site de commerce en ligne (« phishing »).

Il est à noter que ces forums vulnérables sont faciles à trouver en utilisant des techniques de « Google Hacking ».

Recommandation :

Il est conseillé pour les administrateurs d’utiliser ces techniques de « Google Hacking » pour rechercher d’éventuelles vulnérabilités sur les serveurs web de leur réseau.

1.2.3 Infection virale

Un de nos correspondants nous a signalé l’infection virale d’une de ses machines pourtant équipée d’un antivirus à jour. L’infection a été détectée suite au comportement anormal de la machine : perte des icônes et de la barre des tâches et ressources système complètement saturées. Les administrateurs de la machine ont découvert l’origine de l’infection, et ont testé le fichier infecté avec 6 antivirus. Seuls deux d’entre eux ont détecté un virus. Le fichier a ensuite été transmis à un éditeur d’antivirus qu’il soit intégré à la base de signatures.

Recommandation :

Cet incident est l’illustration que la lutte antivirale ne peut pas reposer uniquement sur l’antivirus. Une bonne remontée des informations de la part des utilisateurs vers les administrateurs est essentielle pour le traitement de ce type d’incidents.

1.2.4 Compromission d’un blog

Le CERTA a été informé de la compromission d’un « blog » (journal en ligne) par l’exploitation d’une vulnérabilité de sphpblog-0.4.0. Celle-ci permet de récupérer le mot de passe (sous forme chiffrée) d’administration du blog. Ce mot de passe était trivial, et a probablement été « cassé » à l’aide d’outils spécifiques. L’utilisation de ce mot de passe d’administration du blog a permis d’ajouter de nouvelles pages, notamment une page de « phishing ».

2 Rappel des avis et mises à jour émis

Durant la période du 24 au 28 octobre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-422 : Vulnérabilité dans phpMyAdmin
  • CERTA-2005-AVI-423 : Vulnérabilités Skype
  • CERTA-2005-AVI-424 : Vulnérabilité dans Oracle pour HP Openview

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-394-001 : Vulnérabilité dans Microsoft DirectX

    (ajout de références aux bulletins de sécurité Microsoft)

  • CERTA-2005-AVI-403-001 : Multiples vulnérabilités dans Microsoft Windows

    (ajout du bulletin de sécurité #909444 Microsoft)

Gestion détaillée du document

    le 04 novembre 2005
    version initiale.