1 Activité en cours
1.1 Incidents traités par le CERTA
Le CERTA a traité un nouveau cas de défiguration par exploitation d'une faille de Claroline/Dokeos (voir avis CERTA-2006-AVI-192 et CERTA-2006-AVI-193). Ces deux logiciels ont fait l'objet de très nombreuses attaques récemment. Il est important de noter que la défiguration n'est qu'un aspect visible et non systématique d'une attaque, et que les vulnérabilités (rendues publiques) affectant Claroline et Dokeos permettent l'exécution de code à distance (à condition que le paramètre register_globals soit positionné sur ON dans le fichier php.ini).
2 Vulnérabilité affectant RealVNC
Une vulnérabilité a été récemment publiée dans le produit RealVNC (voir avis CERTA-2006-AVI-198). Ce logiciel est généralement déployé afin de permettre la télé-administration de certains postes de travail. Quelques outils exploitant cette vulnérabilité ont été publiés sur l'Internet.
Il est donc à prévoir une forte augmentation du trafic à destination du port 5900/tcp. Le CERTA constate une augmentation significative des rejets sur ce port depuis le 15 mai 2006.
Recommandations :
Le CERTA suggère de mettre en place des filtres sur le port 5900/tcp et des intrusions dans les systèmes non corrigés. En général, la télé-administration se fait depuis des machines bien identifiées, il est donc possible de restreindre les connexions entrantes sur le port 5900/tcp provenant d'adresses ou de classes d'adresses précises.
Il est aussi recommandé d'appliquer les correctifs de sécurité indiqués par l'éditeur.