1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 15 et le 22 décembre 2005.
1.2 Incident traité
Le CERTA a traité un cas de compromission suite à l'exploitation d'un mot de passe trivial utilisé pour le compte de l'administrateur. L'auteur de l'intrusion a utilisé un outil qui teste automatiquement plus de 3000 mots de passe pour le compte root. Les attaques de ce type sont très fréquentes, et laissent des traces très visibles dans les journaux des serveurs SSH. La machine ainsi compromise a été utilisée pour conduire d'autres attaques du même type.
Nous constatons que des machines de test sont souvent déployées avec un serveur SSH et des mots de passe faibles pour le compte root. Même si les données contenues sur la machine ne sont pas sensibles, il est important de garder à l'esprit que les compromissions ont souvent pour but de prendre le contrôle de ressources informatiques et de les utiliser pour réaliser d'autres attaques.
2 Fichier hosts et mises à jour automatiques
Certains éditeurs ont choisi de privilégier les mises à jour automatiques de leurs applications. Si ce mécanisme est souvent considéré comme pratique par les utilisateurs et les administrateurs, il n'en pose pas moins quelques problèmes :
- l'installation des fichiers est souvent transparente et on ne sait pas toujours si la mise à jour s'est effectuée correctement ;
- la mise à jour automatique peut être facilement neutralisée par des codes malveillants.
De nombreux codes malveillants modifient le fichier %windir%/system32/drivers/etc/hosts
qui agit comme un résolveur de noms sous Windows, afin de renvoyer un grand nombre de noms de machine vers l'adresse 127.0.0.1 (on voit souvent les sites de mises à jour de Windows et des principaux éditeurs d'antivirus ainsi neutralisés). Le fichier hosts ne contient par défaut (et hors commentaires) que la ligne :
127.0.0.1 localhost
3 Liens utiles
- Note d'information pour sur les systèmes obsolètes ;
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html
- Note d'information pour limiter l'impact du SPAM ;
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004/index.html
- Unix security checklist version 2.0 du 8 octobre 2001 (Publication du CERT australien)
http://www.auscert.org.au/render.html?it=1935
4 Rappel des avis et mises à jour émis
Durant la période du 16 au 22 décembre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-491 : Vulnérabilité de Trend Micro ServerProtect
- CERTA-2005-AVI-492 : Multiples vulnérabilités dans JRun de Macromedia
- CERTA-2005-AVI-493 : Multiples vulnérabilités dans ColdFusion de Macromedia
- CERTA-2005-AVI-494 : Vulnérabilité de Courier
- CERTA-2005-AVI-495 : Vulnérabilité de Sudo
- CERTA-2005-AVI-496 : Vulnérabilité de Xmail
- CERTA-2005-AVI-497 : Mise à jour des noyaux des distributions Linux
- CERTA-2005-AVI-498 : Vulnérabilité dans Cisco Clean Access
- CERTA-2005-AVI-499 : Vulnérabilité dans la bibliothèque libavcodec
- CERTA-2005-AVI-500 : Vulnérabilité dans VMware
- CERTA-2005-AVI-501 : Vulnérabilité dans McAfee Security Center
- CERTA-2005-AVI-502 : Vulnérabilité dans le client Progam Neighborhood de Citrix
- CERTA-2005-AVI-503 : Multiples vulnérabilités des systèmes AIX d'IBM
- CERTA-2005-AVI-504 : Vulnérabilité du paquetage ipsec-tools
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-458-001 : Vulnérabilité de la solution IPsec Openswan
(ajout des bulletins de sécurité Gentoo, Fedora Core 3 et 4, de la référence CVE, de la note de vulnérabilité US-CERT et correction du numéro de version des sources vulnérables)
- CERTA-2005-AVI-427-001 : Vulnérabilité de Apache 2.0
(ajout des références aux bulletins de sécurité SUSE SUSE-SR:2005:028 et Mandriva MDKSA-2005:233)
- CERTA-2005-AVI-466-002 : Vulnérabilité de Netpbm
(ajout de la référence au bulletin de sécurité RedHat RHSA-2005:843)
- CERTA-2005-AVI-467-002 : Vulnérabilité dans le navigateur Opéra
(ajout des références aux bulletins de sécurité SUSE et Gentoo)
- CERTA-2005-AVI-478-003 : Vulnérabilité dans Webmin/Usermin
(ajout de la référence au bulletin de sécurité SUSE)
- CERTA-2005-AVI-482-002 : Vulnérabilité de cURL/libcURL
(ajout des références aux bulletins de sécurité Gentoo GLSA 200512-09 et RedHat RHSA-2005:875)
- CERTA-2005-AVI-483-001 : Multiples vulnérabilités dans Xpdf et les bibliothèques dérivées
(ajout des références aux bulletins de sécurité Gentoo GLSA 200512-08, RedHat RHSA-2005:867, RedHat RHSA-2005:868 et RedHat RHSA-2005:878)
- CERTA-2005-AVI-486-002 : Vulnérabilité de Perl
(ajout des références aux bulletins de sécurité SUSE SUSE-SA:2005:071, RedHat RHSA-2005:880 et RedHat RHSA-2005:881)
- CERTA-2005-AVI-426-001 : Vulnérabilités de phpBB
(ajout du site de téléchargement de phpBB, de la référence au bulletin de sécurité Debian DSA-925 et des références CVE)
- CERTA-2005-AVI-458-002 : Vulnérabilité de la solution IPsec Openswan
(ajout du bulletin de sécurité SuSE)