1 Activité en cours

Le tableau 3 montre les rejets sur deux dispositifs de filtrage entre le 25 novembre 2004 et le 02 décembre 2004. On ne constate aucune évolution majeure du trafic des paquets rejetés. Les failles actuellement exploitées reposent essentiellement sur des vulnérabilités dans des applicatifs, ce qui laisse peu de traces réseau.

2 Le filtrage en sortie

Le CERTA est intervenu récemment sur un incident relatif à la compromission d’un serveur WEB.

Une analyse des journaux du pare-feu placé en bordure de la DMZ a permis de mettre en évidence un trafic non sollicité tentant de sortir sur l’Internet, bloqué par le dispositif de filtrage, en provenance d’un serveur Web localisé dans la DMZ.

Ce filtrage en sortie de DMZ (vers l’Internet) a mis en évidence que le serveur était compromis et que les « visiteurs » s’employaient à récupérer sur des sites WEB de l’Internet des outils permettant le maintien frauduleux dans le système compromis.

Faute de pouvoir effectuer le téléchargement, les pirates ont vite délaissé leur proie…

Cet événement illustre que la mise en œuvre d’un filtrage en sortie au niveau du pare-feu, précaution trop souvent négligée, peut s’avérer utile dans certains cas :

  • mise en évidence de la compromission d’un serveur (à condition de lire les journaux des pare-feux) ;
  • limitation des effets de la compromission d’un serveur (maintien dans le système plus complexe, empêche les attaques par rebond…).

Toutefois, ce n’est pas une protection suffisante face à un intrus expérimenté (utilisation d’un flux autorisé en sortie).

Dans le cadre de sa mission de réponse aux incidents de sécurité informatique, le CERTA peut vous assister dans l’analyse des journaux et leur interprétation.

3 Rappel des avis et des mises à jour émis

Durant la période du 29 novembre au 03 décembre 2004, le CERTA a émis les avis suivants :

  • CERTA-2004-AVI-381 : Vulnérabilité dans WS_FTP Server
  • CERTA-2004-AVI-382 : Vulnérabilité de Solaris
  • CERTA-2004-AVI-383 : Vulnérabilité dans Internet Explorer 6
  • CERTA-2004-AVI-384 : Vulnérabilité du service WINS de Microsoft
  • CERTA-2004-AVI-385 : Vulnérabilité dans OpenSSL
  • CERTA-2004-AVI-386 : Multiples vulnérabilités dans Mac OS X

Pendant cette même période, le CERTA a publié les mises à jour suivantes :

  • CERTA-2004-AVI-373-001 : Vulnérabilité de unarj

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2004-AVI-360-003 : Vulnérabilité de la bibliothèque gd

    (ajout de la référence au bulletin de sécurité de Debian)

  • CERTA-2004-AVI-360-004 : Vulnérabilité de la bibliothèque gd

    (ajout de la référence au bulletin de sécurité de Debian DSA-602)

  • CERTA-2004-AVI-377-003 : Vulnérabilité dans la machine virtuelle Java de SUN

    (ajout de la référence au bulletin de sécurité Gentoo)