S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 novembre 2005
N° CERTA-2005-ACT-045
Affaire suivie par: CERT-FR
le 10 novembre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-45

Gestion du document

Référence CERTA-2005-ACT-045
Titre Bulletin d’actualité 2005-45
Date de la première version 10 novembre 2005
Date de la dernière version 10 novembre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 03 et le 10 novembre 2005.

2 Ver Lupper et exploitation des applicatifs web

Un ver exploitant de multiples vulnérabilités de certains applicatifs web, notamment XML-RPC (CERTA-2005-AVI-242) et AWStats (CERTA-2005-AVI-035), se propage actuellement.

Les versions qui ont pu être détectées créent les fichiers /tmp/lupii, /tmp/listen, /tmp/update.listen et /tmp/listen.log et ouvrent les ports 7111/udp, 7222/udp, 27015/udp, 25555/udp.

Il est à noter que ce ver peut évoluer dans le futur pour intégrer d’autres vulnérabilités d’applicatifs web (comme par exemple phpBB), et que d’autres fichiers et d’autres ports que ceux indiqués peuvent être utilisés.

Ces vulnérabilités sont par ailleurs régulièrement recherchées à l’aide de méthodes comme le Google Hacking puis exploitées. Voici quelques exemples directement issus de nos journaux, qui montre notamment une tentative sur la page de l’avis concernant AWStats (il s’agit là d’un Google Hacking mal maîtrisé).




Tentative d’exploitation d’une faille de AWStats sans même vérifier la présence de cet applicatif :

xxx.xxx.xxx.xxx – – [02/Nov/2005:23:10:17 +0100]

« GET /awstats/awstats.pl?configdir=|echo;echo;id;echo;echo| HTTP/1.0 »

404 212 « – » « Mozilla/4.0 (compatible; MSIE 6.0b; Windows NT 5.0) »


Tentative d’exploitation d’une faille de AWStats suite à une recherche de type Google Hacking qui a pointé vers un avis traitant de cet applicatif :

xxx.xxx.xxx.xxx – – [06/Nov/2005:02:05:15 +0100]

« GET /site/CERTA-2005-AVI-035/awstats.pl?configdir=|echo%20;echo%20;id;echo%20;echo|

HTTP/1.0″ 404 228 « – » « Mozilla/4.0 (compatible; MSIE 6.0; Windows 98) »


Tentative d’exploitation d’une faille de AWStats sans vérification de la présence de l’applicatif, à l’aide d’un outil qui laisse la trace significative DataCha0s/2.0 :

xxx.xxx.xxx.xxx – – [06/Nov/2005:21:20:46 +0100]

« GET /cgi-bin/awstats.pl?configdir=|echo;echo;id;%00 HTTP/1.0 »

404 212 « – » « DataCha0s/2.0 »

Recommandations :

Il est conseillé d’appliquer les correctifs de sécurité pour les applicatifs web et d’utiliser les techniques de Google Hacking sur votre nom de domaine pour vérifier la présence de ces applicatifs.

3 Rappel des avis et mises à jour émis

Durant la période du 31 octobre au 04 novembre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-425 : Multiples vulnérabilité dans Mantis
  • CERTA-2005-AVI-426 : Vulnérabilités de phpBB
  • CERTA-2005-AVI-427 : Vulnérabilité de Apache 2.0
  • CERTA-2005-AVI-428 : Multiples vulnérabilités dans PHP
  • CERTA-2005-AVI-429 : Vulnérablilité dans Cisco IPS MC
  • CERTA-2005-AVI-430 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2005-AVI-431 : Vulnérabilité dans les produits Cisco
  • CERTA-2005-AVI-432 : Vulnérabilité de certains équipements de réseau sans-fil de Cisco
  • CERTA-2005-AVI-433 : Vulnérabilité dans HP OpenVMS
  • CERTA-2005-AVI-434 : Vulnérabilité dans l’utilitaire unzip
  • CERTA-2005-AVI-435 : Vulnérabilité du système de réseau privé virtuel OpenVPN
  • CERTA-2005-AVI-436 : Multiples vulnérabilités dans Quicktime

Gestion détaillée du document

    le 10 novembre 2005
    version initiale.