Risque

  • Compromission des machines solaris avec sadmind et windows avec iis

Systèmes affectés

  • Tous les systèmes avec les versions 4.0 et 5.0 non mises à jour de Internet Information Server (IIS) ;
  • Tous les systèmes Solaris de 2.3 à 7 non mis à jour.

Résumé

Un nouveau ver se propage en exploitant des vulnérabilités assez anciennes de Sun Solaris et de IIS. Celui-ci permet l'obtention de privilèges administrateur à distance.

Description

Ce nouveau ver exploite deux failles assez connues pour se propager.

Il se propage sur les systèmes Solaris par la vulnérabilité de sadmind connue depuis décembre 1999.

Après avoir piraté le système Solaris, le ver ajoute la ligne « + + » dans le fichier .rhosts qui se trouve dans le répertoire de l'utilisateur root.

Il installe ensuite des outils pour exploiter la vulnérabilité d'IIS connue depuis octobre 2000 (sous le nom "Web Server Folder Traversal").

Il modifie ensuite le fichier index.html du système sur lequel il se trouve après avoir piraté 2000 serveurs IIS.

Un système Solaris compromis par ce ver contient normalement :

  • Une fenetre de commande avec les privilèges administrateur en écoute sur le port 600/tcp ;
  • le répertoire /dev/cub qui contient des logs de machines piratées ;
  • le répertoire /dev/cuc qui contient les outils d'attaque.

Contournement provisoire

Veiller à bloquer le trafic à destination du port 111/tcp (sunrpc - portmapper, nécessaire à l'exploitation de la faille sadmind).

Solution

Appliquer les patches correctifs qui se trouvent sur les liens :

  • Pour IIS 4.0 :

    http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp
    
  • Pour IIS 5.0 :

    http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp
    
  • Pour sadmind :

    http://www.sunsolve.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba
    
  • Si la machine est compromise, prendre contact avec le CERTA.

Documentation