1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 03 et le 10 novembre 2005.
1.2 Incidents traités
1.2.1 Multiples compromissions
Le CERTA traite actuellement la compromission de plusieurs serveurs sous Linux. La faille exploitée n'est pas encore connue. Ces compromissions ont été découvertes suite au dysfonctionnement des serveurs sshd qui étaient activés sur ces machines.
1.2.2 Ver Lupper
Le CERTA traite un cas de compromission d'un serveur par le ver Lupper, en collaboration avec le CERT-Renater. L'analyse des journaux de cette machine a permis de déterminer qu'elle était régulièrement compromise par l'exploitation d'une faille de AWStats.pl. Les différentes compromissions ont conduit à l'installation de nombreux bots irc (robots qui peuvent recevoir des instructions par irc). Ces installations n'ont été possibles que parce que le serveur était autorisé à effectuer des connexions sortantes. Un filtrage en sortie (pour empêcher le serveur http d'établir une quelconque connexion) et une lecture régulière des journaux des pare-feux auraient permis de détecter la compromission du serveur plus tôt.
Recommandations :
Il est conseillé d'appliquer les correctifs de sécurité pour vos applicatifs web et de réfléchir à la mise en place d'un filtrage en sortie aussi bien qu'en entrée.
1.2.3 Spam massif
De nombreux correspondants nous ont informés de la réception de nombreux messages non sollicités incitant à cliquer sur un lien vers une recherche Google.
Le lien renvoie vers le site www.standartza.com qui n'est plus joignable pour le moment, mais qui pourrait l'être de nouveau prochainement.
Recommandation :
Il peut être souhaitable d'ajouter un filtre temporaire sur ce site au niveau des proxies http.
2 Vulnérabilité sur Flash
Le CERTA a publié l'avis CERTA-2005-AVI-438 concernant le logiciel Macromedia Flash Player. Un outil exploitant automatiquement cette vulnérabilité a été mis à disposition sur l'Internet.
Recommandation :
Il est urgent de mettre à jour le logiciel Macromedia Flash Player.
3 Rappel des avis et mises à jour émis
Note : Suite à une erreur de notre part dans la numérotation des avis, il n'y a pas d'avis CERTA-2005-AVI-450. Par ailleurs, plusieurs avis ont été envoyés dans le cadre d'un exercice (ces messages portent la mention EXE dans le numéro), ils ne sont pas rappelés ici.
Durant la période du 07 au 10 novembre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-437 : Multiples vulnérabilités dans ClamAV
- CERTA-2005-AVI-438 : Vulnérabilité du logiciel Macromedia Flash Player
- CERTA-2005-AVI-439 : Vulnérablilité dans fetchmail
- CERTA-2005-AVI-440 : Multiples vulnérabilités dans la bibliothèque libungif/giflib
- CERTA-2005-AVI-441 : Multiples vulnérabilités dans la bibliothèque libgda
- CERTA-2005-AVI-442 : Vulnérabilité dans divers produits F-Secure
- CERTA-2005-AVI-443 : Vulnérabilité dans Computer Associates iGateway
- CERTA-2005-AVI-444 : Vulnérabilité dans KOffice/KWord
- CERTA-2005-AVI-445 : Multiples vulnérabilités dans le moteur de rendu graphique de Microsoft
- CERTA-2005-AVI-446 : Vulnérabilité dans IBM Tivoli Directory Server
- CERTA-2005-AVI-447 : Vulnérabilité de VERITAS NetBackup
- CERTA-2005-AVI-448 : Vulnérabilité de VERITAS Cluster Server pour UNIX
- CERTA-2005-AVI-449 : Multiples vulnérabilité dans IBM Lotus Domino
- CERTA-2005-AVI-451 : Vulnérabilité de HP-UX remshd
- CERTA-2005-AVI-452 : Vulnérabilité des clients de messagerie Sylpheed et Sylpheed-Claws
- CERTA-2005-AVI-453 : Vulnérabilité de HP-UX envd
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-400-002 : Faiblesse dans OpenSSL 0.9.x
(ajout des références aux bulletins de sécurité Debian DSA-888 et Ubuntu)
- CERTA-2005-AVI-435-001 : Vulnérabilité du système de réseau privé virtuel OpenVPN
(ajout des références aux bulletins de sécurité Gentoo, Debian et SUSE)
- CERTA-2005-AVI-437-001 : Multiples vulnérabilités dans ClamAV
(ajout des références CVE et des bulletins de sécurité Debian et Mandriva)
- CERTA-2005-AVI-440-001 : Multiples vulnérabilités dans la bibliothèque libungif/giflib
(ajout de la référence au bulletin de sécurité Ubuntu USN-214)
- CERTA-2005-AVI-435-002 : Vulnérabilité du système de réseau privé virtuel OpenVPN
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:206)
- CERTA-2005-AVI-440-002 : Multiples vulnérabilités dans la bibliothèque libungif/giflib
(ajout de la référence au bulletin de sécurité Debian DSA-890)
- CERTA-2005-AVI-445-001 : Multiples vulnérabilités dans le moteur de rendu graphique de Microsoft
(ajout du bulletin de sécurité Avaya)
- CERTA-2005-AVI-307-003 : Vulnérabilité de AWStats
(ajout du bulletin de sécurité Debian)
- CERTA-2005-AVI-439-001 : Vulnérablilité dans fetchmail
(ajout de la référence au bulletin de sécurité Mandriva et Ubuntu)
- CERTA-2005-AVI-440-003 : Multiples vulnérabilités dans la bibliothèque libungif/giflib
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:207)