Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-035

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 02 septembre 2011
No CERTA-2011-ACT-035

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-35


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-035

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-035.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-035/

1 Apparition du ver Morto

Le ver Morto est récemment apparu sur les plates-formes Microsoft Windows. Il se propage en utilisant le protocole RDP (Remote Desktop Protocol). Afin d'infecter un poste, ce ver n'exploite pas de vulnérabilité du protocole RDP, il essaie de s'authentifier avec des comptes disposant de mot de passe faible. Le code va en effet tester une liste de noms d'utilisateur communs (adm, admin, backup, owner...) avec un dictionnaire restreint de mot de passe.

La présence des fichiers suivants peut indiquer une infection par le ver :

  • %windir%/clb.dll ;
  • %windir%/clb.dll.bak ;
  • %system%/sens32.dll ;
  • %windir%/temp/nthsrui.dll ;
  • %windir%/offline web pages/cache.txt.

Une augmentation importante du trafic RDP peut également être un signe de la présence du code malveillant. Le ver dispose de fonctionnalités lui permettant d'arrêter les processus liés à des applications de sécurité. Une description complète des symptômes associés à ce ver peut être trouvée sur la base de connaissances de logiciels malveillants de Microsoft (cf section documentation). Les postes infectés peuvent notamment être utilisés pour réaliser des attaques en déni de service.

Face à cette menace, le CERTA rappelle l'importance de l'utilisation de mots de passe forts. Dans une démarche de défense en profondeur, le CERTA recommande également de faire preuve de prudence lors de l'ouverture de service RDP sur l'extérieur, en mettant en place un mécanisme d'authentification forte, ainsi que des règles de filtrage sur adresses IP des machines autorisées à se connecter au service.

2.1 Documentation

2 Certificats SSL émis frauduleusement

Cette semaine la presse a relaté la découverte par un internaute d'un faux certificat SSL de serveur, signé par l'autorité de certification néerlandaise DigiNotar.

Cette découverte a été faite alors que l'internaute était victime d'une attaque par interposition (MITM ou man-in-the-middle) alors qu'il consultait un serveur Google. En effet le faux certificat de serveur était valable pour les serveurs du domaine google.com.

DigiNotar a confirmé l'émission frauduleuse du certificat et indiqué que d'autres certificats avaient également été émis.

En réponse à cet incident, certains éditeurs (Debian, Microsoft, Mozilla) ont supprimé le certificat de l'autorité DigiNotar de la liste des certificats préinstallés ou l'ont desactivé.

2.1 Documentation

3 Compromission de kernel.org

Le 28 août dernier, une compromission a été détectée sur le site kernel.org, hébergeant le code source du noyau Linux. L'intrusion aurait eu lieu un peu plus tôt dans le mois.

Les attaquants ont pu obtenir les droits d'administration du serveur (root) mais la méthode utilisée pour l'élévation de privilèges n'est pour l'instant pas connue. L'accès au serveur aurait été effectué au moyen d'un compte utilisateur compromis et un cheval de Troie a été déposé. Celui-ci a été découvert suite à l'apparition de traces suspectes. Celles-ci concernaient un message d'erreur de Xnest alors que ce logiciel n'était pas installé sur le serveur.

Une réinstallation complète du serveur est prévue ainsi qu'un audit du code hébergé afin de vérifier l'intégrité de celui-ci. L'ensemble des 448 comptes utilisateurs vont être réinitialisés.

Le CERTA rappelle que la mise en place d'un processus de surveillance des journaux permet dans de nombreux cas de détecter au plus tôt des signes d'intrusion, ce qui a été le cas pour ce serveur.

Documentation

4 Liens utiles


5 Rappel des avis émis

Dans la période du 25 août au 01 septembre 2011, le CERTA a émis les publications suivantes :
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-473/index.htmlCERTA-2011-AVI-473 : Vulnérabilité dans SAP NetWeaver
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-474/index.htmlCERTA-2011-AVI-474 : Vulnérabilité dans IBM Rational ClearCase et ClearQuest
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-475/index.htmlCERTA-2011-AVI-475 : Multiples vulnérabilités dans phpMyAdmin versions 33.0 à 3.4.3.2
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-476/index.htmlCERTA-2011-AVI-476 : Vulnérabilités dans Xerox FreeFlow Print Server
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-477/index.htmlCERTA-2011-AVI-477 : Vulnérabilités dans Cisco Intercompany Media Engine
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-478/index.htmlCERTA-2011-AVI-478 : Vulnérabilités dans Cisco Unified Communications Manager
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-479/index.htmlCERTA-2011-AVI-479 : Vulnérabilité dans Cisco Unified Communications Manager et Cisco Unified Presence Server
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-480/index.htmlCERTA-2011-AVI-480 : Vulnérabilité dans Squid
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-481/index.htmlCERTA-2011-AVI-481 : Vulnérabilité dans le routeur Wifi Asus RT-N56U
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-482/index.htmlCERTA-2011-AVI-482 : Vulnérabilité dans DotNetNuke
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-483/index.htmlCERTA-2011-AVI-483 : Vulnérabilité dans IBM Tivoli Storage Productivity Center
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-484/index.htmlCERTA-2011-AVI-484 : Vulnérabilité dans IBM Tivoli Federated Identity Manager
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-485/index.htmlCERTA-2011-AVI-485 : Vulnérabilité dans Apache Tomcat
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-486/index.htmlCERTA-2011-AVI-486 : Vulnérabilités dans Opera
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-487/index.htmlCERTA-2011-AVI-487 : Multiples vulnérabilités dans HP-UX Veritas Enterprise Administrator
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-488/index.htmlCERTA-2011-AVI-488 : Vulnérabilité dans Cisco NX-OS
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-489/index.htmlCERTA-2011-AVI-489 : Vulnérabilité dans IBM WebSphere Application Server Community Edition
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-490/index.htmlCERTA-2011-AVI-490 : Vulnérabilité dans Apache httpd
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-491/index.htmlCERTA-2011-AVI-491 : Vulnérabilité dans IBM WebSphere Application Server Administrative Console

Durant la même période, les publications suivantes ont été mises à jour :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-461/index.htmlCERTA-2011-AVI-461-001 : Vulnérabilités dans PHP (ajout du correctif de la version 53.8 du 23 août 2011.)


Liste des tableaux

Gestion détaillée du document

02 septembre 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-10-23