1 Activité en cours

1.1 Ports observés

Le tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 31 mars et le 07 avril 2005. Les rejets sont principalement composés de paquets à destination du port 445/tcp.

Nous avons ajouté le port 25/tcp à notre surveillance, suite à l’avis CERTA-2005-AVI-133 affectant Microsoft Exchange Server. Une vulnérabilité critique de ce serveur permet l’exécution de code arbitraire à distance. Nous n’avons pas connaissance d’exploitation de cette faille à ce jour, toutefois, si vous constatez une augmentation significative des rejets sur le port 25/tcp, il est important d’en informer le CERTA.

1.2 Incidents traités par le CERTA

Un cas de défiguration de site web a été traité par le CERTA. La faille exploitée affectait le forum phpBB.

D’autre part, un correspondant nous a fait part de la compromission possible d’une quinzaine de machines sous Windows (postes utilisateur). Quelques unes de ces machines ont été infectées par Blaster ou Sasser. Leur vulnérabilité était liée à leur réinstallation à partir d’une image logique faite depuis une machine qui n’avait pas été mise à jour. Une autre de ces machines avait un programme de type adware (logiciel affichant de la publicité de façon intempestive, et ayant parfois d’autres fonctionnalités). L’outil utilisé par l’administrateur (se présentant sous la forme d’un exécutable appelé New_uninstall.exe) pour désinstaller cet adware contenait un cheval de Troie, aggravant ainsi l’incident. Il est conseillé de contacter le CERTA dès la détection des incidents de sécurité, quels qu’ils soient. Le CERTA, par son expertise, peut dans certains cas vous déconseiller l’utilisation de certains outils.

1.3 Infections par MyTob

Un correspondant nous a informés de l’infection virale de son réseau par MyTob. Au moment des faits, les signatures de l’antivirus ne permettaient pas de détecter le virus. Désormais, la plupart des antivirus reconnaissent le ver MyTob. Il est donc par conséquent important de mettre à jour la base des signatures des antivirus.

2 Utilisation des images logiques pour installer des machines

Un incident récemment traité par le CERTA a mis en évidence un problème posé par l’utilisation des images logiques pour installer des machines.

Les images logiques sont souvent utilisées par les administrateurs afin d’installer rapidement et massivement des machines. Ces images sont réalisées à partir d’une machine étalon. Il convient donc de mettre à jour cette machine étalon dès la sortie des correctifs, de vérifier qu’elle est exempte de failles de sécurité connues, et de s’assurer qu’elle n’est pas compromise avant de réaliser toute image. De surcroît, les images logiques ainsi réalisées doivent être refaites dès la sortie de nouveaux correctifs. Il est par ailleurs fortement conseillé d’utiliser une machine dédiée et isolée du réseau pour réaliser ces images.

3 Multiples vulnérabilités critiques dans Windows

Microsoft a publié le 12 avril 2005 de nombreux correctifs concernant des failles critiques d’Internet Explorer, de Microsoft Exchange Server, de MSN Messenger et de l’interpréteur de commandes Windows. Des outils d’exploitation de certaines de ces vullnérabilités (Internet Explorer et interpréteur de commandes Windows) ont été rendus publics. Il est donc extrêmement important d’appliquer sans délai ces correctifs.

4 Rappel des avis et mises à jour émis

Durant la période du 04 au 09 avril 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-127 : Vulnérabilités de SSH sous Cisco IOS
  • CERTA-2005-AVI-128 : Vulnérabilité dans Sylpheed
  • CERTA-2005-AVI-129 : Vulnérabilité du serveur d’application ColdFusion
  • CERTA-2005-AVI-130 : Vulnérabilité dans Lotus Domino

Pendant cette même période, la mise à jour suivante a été publiée :

  • CERTA-2005-AVI-122-002 : Multiples vulnérabilités dans ImageMagick

    (ajout des références aux bulletins de sécurité de Mandrake et Debian)