{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Certains routeurs Cisco ou serveurs WEB subissent des effets de bord d\u00fb au balayage agressif ex\u00e9cut\u00e9 par le ver.","product":{"name":"Web","vendor":{"name":"Centreon","scada":false}}},{"description":"Tous les mat\u00e9riels qui embarquent le logiciel ci-dessus, en particulier : Cisco CallManager, Cisco Unity Server, Cisco uOne, Cisco ICS7750, voire d'autre produits Cisco (cf. l'avis Cisco mentionn\u00e9 dans le paragraphe consacr\u00e9 \u00e0 la documentation concernant cette alerte.).","product":{"name":"N/A","vendor":{"name":"Cisco","scada":false}}},{"description":"Tous les syst\u00e8mes avec Microsoft Index Server 2.0 ou Indexing Service dans Microsoft Windows 2000 sur lesquels les correctifs indiqu\u00e9s dans l'avis CERTA-2001-AVI-064 n'ont pas \u00e9t\u00e9 appliqu\u00e9s.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"closed_at":"2001-08-13","content":"## Description\n\nUn ver se propage en exploitant une faille dans le serveur d'indexation\nde Windows d\u00e9couverte en juin 2001. Cette faille permet \u00e0 un utilisateur\nmalveillant d'ex\u00e9cuter \u00e0 distance des commandes sur un serveur IIS\n(Internet Information Server) vuln\u00e9rable.\n\nLorsqu'une machine est compromise par ce ver, la page d'accueil du site\nweb peut \u00eatre remplac\u00e9e par le texte \u00ab Welcome to http://www.worm.com !\nHacked By Chinese! \u00bb \u00e9crit en rouge. L'absence de ce texte n'est pas une\ngarantie de ne pas \u00eatre compromis.\n\nDe plus, ce ver parcourt des adresses IP \u00e0 la recherche de serveurs IIS\nvuln\u00e9rables afin de les compromettre. Pour cela, le ver balaie des\nadresses IP choisies au hasard.\n\nL'impl\u00e9mentation du tirage al\u00e9atoire des adresses IP dans la premi\u00e8re\nversion du ver contient une l\u00e9g\u00e8re erreur. Il en r\u00e9sulte que chaque\nmachine va effectuer exactement le m\u00eame tirage, et par cons\u00e9quent,\ntoutes les machines compromises vont attaquer les m\u00eames cibles, ce qui\npeut entra\u00eener un d\u00e9ni de service. Ainsi, une machine qui serait\ncompromise et r\u00e9install\u00e9e sans mise \u00e0 jour du serveur IIS serait pirat\u00e9e\nde nouveau assez rapidement.\n\nUne nouvelle version du ver aurait corrig\u00e9 cette erreur. Ainsi tout\nserveur IIS qui n'a pas appliqu\u00e9 le correctif, quelque soit son adresse\nIP, pourrait \u00eatre vuln\u00e9rable aux nouvelles versions du ver.\n\nLa compromission d'un serveur IIS se passe par le biais d'un URL\nastucieusement construit qui ressemble \u00e0 :\n\n    GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\n    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\n    NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\n    NNNNNNNNNNNNNNNNNNNNNNNNNNNN[divers caract\ufffdres en unicode]=a  HTTP/1.0\n\nCertains sites fran\u00e7ais qui analysent leur journaux de connexions ont\nconstat\u00e9 en juillet plusieurs milliers de tentatives de piratages de ce\ntype sur leurs serveurs. Ceci laisse entendre qu'un nombre tr\u00e8s\nimportant de serveurs IIS ont \u00e9t\u00e9 contamin\u00e9s dans le monde, ce que\nsemble confirmer l'avis CA-2001-23 du CERT/CC. Des serveurs fran\u00e7ais ont\n\u00e9t\u00e9 contamin\u00e9s.\n\nDe plus, il arrive parfois que le ver entra\u00eene l'arr\u00eat de la machine\ncompromise apr\u00e8s avoir consomm\u00e9 toutes les ressources du syst\u00e8me.\n\nLes versions du ver en circulation d\u00e9j\u00e0 identifi\u00e9es ont des phases\nd'infection qui commencent le premier jour du mois d'ao\u00fbt.\n\nLe fonctionnement et l'administration des produits Cisco peuvent \u00eatre\ncompromis par le ver.  \n\nDepuis le samedi 04 ao\u00fbt, on peut observer une nouvelle version du ver\n\"Code Red\". Ce ver utilise la m\u00eame faille que la version initiale, mais\ninstalle en plus une porte d\u00e9rob\u00e9e sur le serveur. Il est alors possible\nd'ex\u00e9cuter du code \u00e0 distance sur la machine, et d'acc\u00e9der aux disques\nC: et D: de l'ordinateur.\n\nEn effet, ce ver fait tourner un faux processus \"explorer.exe\", qui\npermet \u00e0 un pirate de prendre la main sur la machine \u00e0 distance. Deux\nfichiers \"explorer.exe\" sont cr\u00e9\u00e9s, ainsi que 4 fichiers \"Root.exe\".\n\nDe plus, le ver modifie la valeurs de certaines cl\u00e9s dans la base de\nregistres.\n\nCette nouvelle version utilise un URL tr\u00e8s proche de l'URL ci-dessus,\nutilis\u00e9 dans la version initale, o\u00f9 les \"N\" sont remplac\u00e9s par des \"X\" :\n\n    GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\n    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\n    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\n    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX[divers caract\ufffdres en unicode]=a  HTTP/1.0\n\nContrairement \u00e0 la premi\u00e8re version, l'infection par ce ver r\u00e9siste au\nsimple red\u00e9marrage de l'ordinateur.\n\nA mesure que le ver se propage, de nombreuses machines compromises\npeuvent tenter de contaminer un serveur WEB. Quelque soit le logiciel\nderri\u00e8re le serveur WEB, IIS ou non, il peut y avoir des effets de bords\nassoci\u00e9s \u00e0 la charge engendr\u00e9e par le traitement des URL correspondant \u00e0\nCode Red. Par exemple, les sites qui font un traitement particulier sur\ntoutes les erreurs 404, peuvent \u00eatre victime d'un d\u00e9ni de service d\u00fb \u00e0\nla fr\u00e9quence de ce traitement.\n\n## Solution\n\nUne nouvelle vague d'attaque pourrait avoir lieu d\u00e8s le premier jour du\nmois d'ao\u00fbt. Son ampleur d\u00e9pendra notamment du nombre de machines d\u00e9j\u00e0\ncontamin\u00e9es qui n'ont pas \u00e9t\u00e9 corrig\u00e9es et du nombre de machines encore\nvuln\u00e9rables. Cependant, la virulence constat\u00e9e lors du mois de juillet\ninvite \u00e0 \u00eatre extr\u00eamement prudent et \u00e0 appliquer imm\u00e9diatement les\nmesures d\u00e9crites ci-dessous.\n\n## 5.1 Prot\u00e9gez-vous\n\nAppliquez les correctifs indiqu\u00e9s dans l'avis CERTA-2001-AVI-064 et dans\nl'avis Cisco. Les patchs pour les versions fran\u00e7aises sont maintenant\naccessibles.\n\nSi vous vous connectez \u00e0 Internet par un modem, le cable ou l'ADSL dans\nle but unique de consulter votre m\u00e9l, de lire les forums, de naviguer,\netc. mais que vous n'offrez pas un site WEB, il se peut n\u00e9anmoins que le\nlogiciel IIS soit lanc\u00e9 sur votre ordinateur (configuration par d\u00e9faut\npar exemple), il est prudent dans ce cas de couper IIS le temps de la\nconnexion afin de ne pas \u00eatre compromis.\n\n## 5.2 Nettoyez\n\nLe seul moyen vraiment s\u00fbr pour se d\u00e9barasser de ce ver est de\nr\u00e9installer compl\u00e9tement le syst\u00e8me.\n\nSi cela n'est pas possible, il existe une proc\u00e9dure de nettoyage d\u00e9crite\npar Symantec :\n\n    http://www.sarc.com/avcenter/venc/data/codered.v3.html\n\nMais si votre serveur a \u00e9t\u00e9 compromis, il se peut qu'une personne ait\nd\u00e9j\u00e0 install\u00e9 des fichiers sur la machine, ou modifi\u00e9 des cl\u00e9s de la\nbase de registres, que la proc\u00e9dure de nettoyage laissera en \u00e9tat.\n\n## 5.3 Alertez\n\nAfin de nettoyer le parc de machines infect\u00e9es, il est important de\npouvoir pr\u00e9venir les administrateurs de chacunes des machines infect\u00e9es.\nSi vous avez un serveur WEB, le journal des connexions peut aider \u00e0\nd\u00e9couvrir ces machines compromises.\n\nOn peut rechercher des traces de ce type d'attaques dans les journaux de\nconnexions d'un serveur WEB mis en \u0153uvre par le logiciel Apache gr\u00e2ce \u00e0\nla commande : `grep -E \"GET  /[^.]*.id(a|q)\\?\" access_log`.\n\nUn d\u00e9tecteur de tentatives d'intrusion (IDS) peut aussi aider \u00e0\nd\u00e9couvrir les (tentatives d')attaques. Les IDS peuvent aider \u00e0 d\u00e9tecter\nles attaques faites par le ver Code Red ou des attaques similaires.\nL'IDS ne vous prot\u00e9gera pas contre l'attaque, seul l'application du\ncorrectif peut vous prot\u00e9ger. Le site ArachNIDS, donne des signatures\nd'agressions pour quelques IDS.\n\nSi vous constatez de tels URL dans vos journaux, veuillez prendre\ncontact, sans d\u00e9lai, avec le CERTA.\n","cves":[],"links":[{"title":"En particulier les liens suivants :","url":"http://www.cert.org/advisories/CA-2001-19.html"}],"reference":"CERTA-2001-ALE-008","revisions":[{"description":"correction de la r\u00e9f\u00e9rence \u00e0 l'avis.","revision_date":"2001-07-18T00:00:00.000000"},{"description":"ajout de la vuln\u00e9rabilit\u00e9 sous CISCO.","revision_date":"2001-07-20T00:00:00.000000"},{"description":"mise \u00e0 jour.","revision_date":"2001-07-30T00:00:00.000000"},{"description":"apparition d'une nouvelle version du ver \"Code Red\".","revision_date":"2001-08-06T00:00:00.000000"},{"description":"mise \u00e0 jour de la proc\u00e9dure de nettoyage.","revision_date":"2001-08-07T00:00:00.000000"},{"description":"effets de bord sur d'autres serveurs WEB, le correctif de Microsoft pour NT 4.0 n'existe pas en Fran\u00e7ais, couper IIS lorsqu'on se connecte \u00e0 Internet uniquement pour naviguer.","revision_date":"2001-08-09T00:00:00.000000"},{"description":"le correctif de Microsoft pour NT 4.0 est accessible en fran\u00e7ais.","revision_date":"2001-08-13T00:00:00.000000"}],"risks":[{"description":"Compromission des serveurs et risque de d\u00e9ni de service"}],"summary":"Un nouveau ver se propage en exploitant une faille du serveur\nd'indexation de Windows.\n","title":"Propagation du ver \u00ab Code Red \u00bb","vendor_advisories":[{"published_at":null,"title":"Bugtraq","url":null}]}