1 Activité en cours
Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035.pdf
Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035/
2 Incidents traités
2.1 Défigurations
Le CERTA a traité cette semaine deux cas de défiguration de site web. Dans les deux cas, les auteurs des faits ont profité de droits en écriture laissés accidentellement par l'administrateur. Pour l'une de ces défigurations, l'analyse des journaux a permis de montrer que de nombreuses attaques avaient eu lieu sur plusieurs jours en exploitant toujours la même vulnérabilité. Des fichiers ont été déposés sur le site vulnérable.
Des droits en écriture sont parfois laissés afin de faciliter les mises à jour des contenus des sites web. Il est important dans ce cas de restreindre les adresses IPs accédant à cette fonctionnalité, ou déployer des procédures d'authentification.
2.2 Ver ciblant MS06-040
Le CERTA a été informé de la compromission de nombreuses machines en France. Au total, 26000 adresses IPs distinctes ont été identifiées (en tenant compte de l'adressage dynamique, ce chiffre représente probablement moins de machines physiques infectées).
Le ver à l'origine de ces compromissions avait été signalé dans le bulletin d'actualité CERTA-2006-ACT-033. Il porte différents noms : Graweg, MocBot, W32.Wargbot, W32/SDbot, W32/Vanebot, W32.Randex. Deux enregistrements dans la base CME (Common Malware Enumeration : http://cme.mitre.org) lui sont dédiés : CME-762 et CME-482.
Plusieurs variantes de celui-ci sont identifiées, dont le comportement consiste à établir des connexions vers des serveurs à l'étranger sur le port 18067/TCP ou 4915/TCP.
Recommandations
Le CERTA recommande d'appliquer les correctifs de sécurité mis à disposition par Microsoft dans le bulletin MS06-040 (CERTA-2006-AVI-338). D'autre part, le CERTA suggère de surveiller dans les journaux des pare-feux d'éventuelles connexions vers les ports 18067/TCP et 4915/TCP.