1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 03 et le 10 novembre 2005.

2 Ver Lupper et exploitation des applicatifs web

Un ver exploitant de multiples vulnérabilités de certains applicatifs web, notamment XML-RPC (CERTA-2005-AVI-242) et AWStats (CERTA-2005-AVI-035), se propage actuellement.

Les versions qui ont pu être détectées créent les fichiers /tmp/lupii, /tmp/listen, /tmp/update.listen et /tmp/listen.log et ouvrent les ports 7111/udp, 7222/udp, 27015/udp, 25555/udp.

Il est à noter que ce ver peut évoluer dans le futur pour intégrer d'autres vulnérabilités d'applicatifs web (comme par exemple phpBB), et que d'autres fichiers et d'autres ports que ceux indiqués peuvent être utilisés.

Ces vulnérabilités sont par ailleurs régulièrement recherchées à l'aide de méthodes comme le Google Hacking puis exploitées. Voici quelques exemples directement issus de nos journaux, qui montre notamment une tentative sur la page de l'avis concernant AWStats (il s'agit là d'un Google Hacking mal maîtrisé).




Tentative d'exploitation d'une faille de AWStats sans même vérifier la présence de cet applicatif :

xxx.xxx.xxx.xxx - - [02/Nov/2005:23:10:17 +0100]

"GET /awstats/awstats.pl?configdir=|echo;echo;id;echo;echo| HTTP/1.0"

404 212 "-" "Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0)"


Tentative d'exploitation d'une faille de AWStats suite à une recherche de type Google Hacking qui a pointé vers un avis traitant de cet applicatif :

xxx.xxx.xxx.xxx - - [06/Nov/2005:02:05:15 +0100]

"GET /site/CERTA-2005-AVI-035/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo|

HTTP/1.0" 404 228 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"


Tentative d'exploitation d'une faille de AWStats sans vérification de la présence de l'applicatif, à l'aide d'un outil qui laisse la trace significative DataCha0s/2.0 :

xxx.xxx.xxx.xxx - - [06/Nov/2005:21:20:46 +0100]

"GET /cgi-bin/awstats.pl?configdir=|echo;echo;id;%00 HTTP/1.0"

404 212 "-" "DataCha0s/2.0"

Recommandations :

Il est conseillé d'appliquer les correctifs de sécurité pour les applicatifs web et d'utiliser les techniques de Google Hacking sur votre nom de domaine pour vérifier la présence de ces applicatifs.

3 Rappel des avis et mises à jour émis

Durant la période du 31 octobre au 04 novembre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-425 : Multiples vulnérabilité dans Mantis
  • CERTA-2005-AVI-426 : Vulnérabilités de phpBB
  • CERTA-2005-AVI-427 : Vulnérabilité de Apache 2.0
  • CERTA-2005-AVI-428 : Multiples vulnérabilités dans PHP
  • CERTA-2005-AVI-429 : Vulnérablilité dans Cisco IPS MC
  • CERTA-2005-AVI-430 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2005-AVI-431 : Vulnérabilité dans les produits Cisco
  • CERTA-2005-AVI-432 : Vulnérabilité de certains équipements de réseau sans-fil de Cisco
  • CERTA-2005-AVI-433 : Vulnérabilité dans HP OpenVMS
  • CERTA-2005-AVI-434 : Vulnérabilité dans l'utilitaire unzip
  • CERTA-2005-AVI-435 : Vulnérabilité du système de réseau privé virtuel OpenVPN
  • CERTA-2005-AVI-436 : Multiples vulnérabilités dans Quicktime

Rappel des publications émises

Dans la période du 31 octobre 2005 au 06 novembre 2005, le CERT-FR a émis les publications suivantes :