1 Activité en cours

L’activité remarquée sur deux pare-feux entre le 11 et le 18 novembre 2004 (voir Tab. 3) n’est pas différente de celle constatée les semaines précédentes. L’analyse des journaux a toutefois permis de détecter plusieurs machines compromises (dont un serveur mutualisé chez un hébergeur) qui effectuaient des recherches sur le port 22/tcp.

Les incidents qui nous ont été signalés concernaient essentiellement des activités virales, qui se traduisaient par la réception massive de messages infectés. Pour l’un de ces incidents, le volume de messages reçus était tel (plusieurs milliers par jour) qu’il saturait le serveur de messagerie.

2 Non, ce correspondant ne vous envoie pas de virus !

Nous recevons parfois des signalements de réception de virus. On entend souvent « j’ai reçu un virus d’une personne que je ne connais pas ! », ou encore « untel m’a envoyé un virus ! ».

Le fonctionnement des vers de messagerie (c’est-à-dire qui se propagent par la messagerie) repose sur l’utilisation des carnets d’adresses. En effet, pour se propager, le ver construit un message, dont il remplit les champs « expéditeur » et « destinataire » en puisant des adresses de messagerie dans le carnet d’adresses (il faut préciser que sous Outlook Express, le carnet d’adresses se remplit automatiquement par défaut avec les adresses des expéditeurs). Ces attaques ne sont donc pas ciblées, et l’émetteur figurant dans le message n’est pas le véritable expéditeur du message. Il est donc recommandé de configurer les passerelles antivirales pour qu’elles n’envoient pas de notification de détection d’un virus à l’adresse apparaissant dans le champ « expéditeur » du message.

Mais alors, est-il possible de retrouver la machine ayant réellement émis le message infecté ? La réponse est oui. Il faut, pour ce faire, afficher l’en-tête complet du message (par exemple, sous Outlook Express, utiliser le bouton droit de la souris, puis afficher les propriétés du message). Voici un exemple d’en-tête :

From untel@nom_de_domaine_quelconque Tue Nov 23 11:25:47 2004

Return-Path: <untel@nom_de_domaine_quelconque>

Delivered-To: certa-svp@certa.ssi.gouv.fr

Received: from serveur_messagerie (serveur_messagerie [10.65.123.2])

by mail.certa.ssi.gouv.fr (Postfix) with ESMTP

Received: from ofivsfojr (ozrovj [192.168.92.87])

by serveur_messagerie.quelquepart

id BC9323A847; Tue, 23 Nov 2004 11:25:40 0100 (CET)+

Subject: My Photos !

Date: Tue, 23 Nov 2004 11:25:33 0100+

Dans cet en-tête, le chemin suivit par le message apparaît : il part de la machine 192.168.92.87 (seules les informations entre les crochets sont pertinentes), puis atteint le serveur 10.65.123.2 avant d’être reçu par le serveur mail.certa.ssi.gouv.fr. L’émetteur réel de ce message est donc la machine qui possédait l’adresse IP 192.168.92.87 le 23 novembre 2004 à 11h25.

Cependant, de fausses informations peuvent être ajoutées volontairement dans les en-têtes (par exemple par un virus). Une certaine expertise ou habitude est alors nécessaire pour trouver l’origine de proche en proche.

Lorsque vous signalez un virus, ou tout problème relatif à un message électronique, il est extrêmement important de fournir l’en-tête complet, afin de pouvoir en extraire l’adresse IP émettrice ainsi que les date et heure de l’envoi.

3 Rappel des avis et des mises à jour émis

Durant la période du 08 novembre au 19 novembre 2004, le CERTA a émis les avis suivants :

  • CERTA-2004-AVI-363 : Faille dans le gestionnaire de volumes Linux LVM
  • CERTA-2004-AVI-364 : Vulnérabilité de gzip
  • CERTA-2004-AVI-365 : Vulnérabilité dans ISA Server / Proxy Server
  • CERTA-2004-AVI-366 : Vulnérabilité sur Cisco IOS
  • CERTA-2004-AVI-367 : Vulnérabilité dans Cisco Security Agent (CSA)
  • CERTA-2004-AVI-368 : Multiples vulnérabilités de Samba
  • CERTA-2004-AVI-369 : Vulnérabilité d’ImageMagick
  • CERTA-2004-AVI-370 : Vulnérabilités du serveur HTTP Apache
  • CERTA-2004-AVI-371 : Vulnérabilité dans l’utilitaire sudo
  • CERTA-2004-AVI-372 : Vulnérabilité des noyaux Linux 2.4 et 2.6

Pendant cette même période, le CERTA a publié les mises à jour suivantes :

  • CERTA-2004-AVI-360-001 : Vulnérabilité de la bibliothèque gd

    (ajout références aux bulletins de sécurité de Debian)

  • CERTA-2004-AVI-361-002 : Multiples vulnérabilités de libxml2

    (ajout référence au bulletin de sécurité RHSA-2004:615 de Red Hat)

  • CERTA-2004-AVI-325-008 : Vulnérabilités de XFree86, libXpm, LessTif, Motif et OpenMotif

    (ajout référence au bulletin de sécurité SSRT4831 pour HP Tru64)

  • CERTA-2004-AVI-360-002 : Vulnérabilité de la bibliothèque gd

    (ajout référence au bulletin de sécurité de Mandrake)