Risque

  • Compromission des serveurs et risque de déni de service

Systèmes affectés

  • Certains routeurs Cisco ou serveurs WEB subissent des effets de bord dû au balayage agressif exécuté par le ver.
  • Tous les matériels qui embarquent le logiciel ci-dessus, en particulier : Cisco CallManager, Cisco Unity Server, Cisco uOne, Cisco ICS7750, voire d'autre produits Cisco (cf. l'avis Cisco mentionné dans le paragraphe consacré à la documentation concernant cette alerte.).
  • Tous les systèmes avec Microsoft Index Server 2.0 ou Indexing Service dans Microsoft Windows 2000 sur lesquels les correctifs indiqués dans l'avis CERTA-2001-AVI-064 n'ont pas été appliqués.

Résumé

Un nouveau ver se propage en exploitant une faille du serveur d'indexation de Windows.

Description

Un ver se propage en exploitant une faille dans le serveur d'indexation de Windows découverte en juin 2001. Cette faille permet à un utilisateur malveillant d'exécuter à distance des commandes sur un serveur IIS (Internet Information Server) vulnérable.

Lorsqu'une machine est compromise par ce ver, la page d'accueil du site web peut être remplacée par le texte « Welcome to http://www.worm.com ! Hacked By Chinese! » écrit en rouge. L'absence de ce texte n'est pas une garantie de ne pas être compromis.

De plus, ce ver parcourt des adresses IP à la recherche de serveurs IIS vulnérables afin de les compromettre. Pour cela, le ver balaie des adresses IP choisies au hasard.

L'implémentation du tirage aléatoire des adresses IP dans la première version du ver contient une légère erreur. Il en résulte que chaque machine va effectuer exactement le même tirage, et par conséquent, toutes les machines compromises vont attaquer les mêmes cibles, ce qui peut entraîner un déni de service. Ainsi, une machine qui serait compromise et réinstallée sans mise à jour du serveur IIS serait piratée de nouveau assez rapidement.

Une nouvelle version du ver aurait corrigé cette erreur. Ainsi tout serveur IIS qui n'a pas appliqué le correctif, quelque soit son adresse IP, pourrait être vulnérable aux nouvelles versions du ver.

La compromission d'un serveur IIS se passe par le biais d'un URL astucieusement construit qui ressemble à :

GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNN[divers caract�res en unicode]=a  HTTP/1.0

Certains sites français qui analysent leur journaux de connexions ont constaté en juillet plusieurs milliers de tentatives de piratages de ce type sur leurs serveurs. Ceci laisse entendre qu'un nombre très important de serveurs IIS ont été contaminés dans le monde, ce que semble confirmer l'avis CA-2001-23 du CERT/CC. Des serveurs français ont été contaminés.

De plus, il arrive parfois que le ver entraîne l'arrêt de la machine compromise après avoir consommé toutes les ressources du système.

Les versions du ver en circulation déjà identifiées ont des phases d'infection qui commencent le premier jour du mois d'août.

Le fonctionnement et l'administration des produits Cisco peuvent être compromis par le ver.

Depuis le samedi 04 août, on peut observer une nouvelle version du ver "Code Red". Ce ver utilise la même faille que la version initiale, mais installe en plus une porte dérobée sur le serveur. Il est alors possible d'exécuter du code à distance sur la machine, et d'accéder aux disques C: et D: de l'ordinateur.

En effet, ce ver fait tourner un faux processus "explorer.exe", qui permet à un pirate de prendre la main sur la machine à distance. Deux fichiers "explorer.exe" sont créés, ainsi que 4 fichiers "Root.exe".

De plus, le ver modifie la valeurs de certaines clés dans la base de registres.

Cette nouvelle version utilise un URL très proche de l'URL ci-dessus, utilisé dans la version initale, où les "N" sont remplacés par des "X" :

GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX[divers caract�res en unicode]=a  HTTP/1.0

Contrairement à la première version, l'infection par ce ver résiste au simple redémarrage de l'ordinateur.

A mesure que le ver se propage, de nombreuses machines compromises peuvent tenter de contaminer un serveur WEB. Quelque soit le logiciel derrière le serveur WEB, IIS ou non, il peut y avoir des effets de bords associés à la charge engendrée par le traitement des URL correspondant à Code Red. Par exemple, les sites qui font un traitement particulier sur toutes les erreurs 404, peuvent être victime d'un déni de service dû à la fréquence de ce traitement.

Solution

Une nouvelle vague d'attaque pourrait avoir lieu dès le premier jour du mois d'août. Son ampleur dépendra notamment du nombre de machines déjà contaminées qui n'ont pas été corrigées et du nombre de machines encore vulnérables. Cependant, la virulence constatée lors du mois de juillet invite à être extrêmement prudent et à appliquer immédiatement les mesures décrites ci-dessous.

5.1 Protégez-vous

Appliquez les correctifs indiqués dans l'avis CERTA-2001-AVI-064 et dans l'avis Cisco. Les patchs pour les versions françaises sont maintenant accessibles.

Si vous vous connectez à Internet par un modem, le cable ou l'ADSL dans le but unique de consulter votre mél, de lire les forums, de naviguer, etc. mais que vous n'offrez pas un site WEB, il se peut néanmoins que le logiciel IIS soit lancé sur votre ordinateur (configuration par défaut par exemple), il est prudent dans ce cas de couper IIS le temps de la connexion afin de ne pas être compromis.

5.2 Nettoyez

Le seul moyen vraiment sûr pour se débarasser de ce ver est de réinstaller complétement le système.

Si cela n'est pas possible, il existe une procédure de nettoyage décrite par Symantec :

http://www.sarc.com/avcenter/venc/data/codered.v3.html

Mais si votre serveur a été compromis, il se peut qu'une personne ait déjà installé des fichiers sur la machine, ou modifié des clés de la base de registres, que la procédure de nettoyage laissera en état.

5.3 Alertez

Afin de nettoyer le parc de machines infectées, il est important de pouvoir prévenir les administrateurs de chacunes des machines infectées. Si vous avez un serveur WEB, le journal des connexions peut aider à découvrir ces machines compromises.

On peut rechercher des traces de ce type d'attaques dans les journaux de connexions d'un serveur WEB mis en œuvre par le logiciel Apache grâce à la commande : grep -E "GET /[^.]*.id(a|q)\?" access_log.

Un détecteur de tentatives d'intrusion (IDS) peut aussi aider à découvrir les (tentatives d')attaques. Les IDS peuvent aider à détecter les attaques faites par le ver Code Red ou des attaques similaires. L'IDS ne vous protégera pas contre l'attaque, seul l'application du correctif peut vous protéger. Le site ArachNIDS, donne des signatures d'agressions pour quelques IDS.

Si vous constatez de tels URL dans vos journaux, veuillez prendre contact, sans délai, avec le CERTA.

Documentation