1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 28 juillet et le 04 août 2005.
Nous avons ajouté le port 6050/tcp (BrightStor ARCserve/Enterprise Backup) à la liste de nos ports sous surveillance. Un outil, exploitant automatiquement une vulnérabilité récemment rendue publique (voir avis CERTA-2005-AVI-293), a été mis à disposition sur l’Internet.
Recommandation :
Il est urgent d’appliquer le correctif pour les produits BrightStor ARCserve Backup et BrightStor Enterprise Backup et de vérifier l’intégrité des machines sur lesquelles ils sont installés.
1.2 Incidents traités
Le CERTA a traité un cas d’infection massive par une version récente du ver MyTob. Ce ver a fait l’objet d’une alerte (CERTA-2005-ALE-004). Les antivirus de ce réseau étaient à jour, mais cette version de MyTob n’étaient pas encore reconnue.
1.3 Faux message électronique de Microsoft en circulation
Le CERTA a été informé par plusieurs correspondants de la circulation d’un faux message électronique de Microsoft (voir figure 1).
Les liens contenus dans ce message renvoient vers une page d’un site malveillant. En effet, du code permettant d’exploiter une faille dans le composant ActiveX DHTML (voir avis CERTA-2005-AVI-059) se trouve sur cette page. Une seconde faille (décrite dans l’alerte CERTA-2004-ALE-009) est ensuite exploitée pour déposer un cheval de Troie (Dumaru ou Dumador selon les différents antivirus).
Lors de cette analyse, 14 antivirus différents ont été utilisés. Les pages HTML traversées sont rarement vues comme contenant du code malveillant (7 antivirus ont levé une alerte). Le cheval de Troie téléchargé est reconnu par 10 antivirus.
Recommandation :
Cet exemple montre que la meilleure protection reste l’application systématique des correctifs. Les vulnérabilités exploitées par le site malveillant sont connues et corrigées. Les antivirus, même mis à jour, ne constituent pas une parade suffisante, puisque les différents codes malveillants ne sont pas toujours reconnus. Le CERTA recommande également la lecture de la note d’information CERTA-2000-INF-007 (« Rappel sur les virus et chevaux de Troie ») disponible à l’adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-007/index.html
2 Rappel des avis et mises à jour émis
Durant la période du 25 juillet au 29 juillet 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-279 : Multiples Vulnérabilité dans ClamAV
- CERTA-2005-AVI-280 : Vulnérabilités de Apache
- CERTA-2005-AVI-281 : Multiples vulnérabilités dans Mysql
- CERTA-2005-AVI-282 : Multiples vulnérabilités dans ProFTPD
- CERTA-2005-AVI-283 : Vulnérabilité dans Sun Solaris « libmle »
- CERTA-2005-AVI-284 : Multiples vulnérabilités dans le logiciel Ethereal
- CERTA-2005-AVI-285 : Vulnérabilité dans la mise en œuvre IPsec de FreeBSD
- CERTA-2005-AVI-286 : Vulnérabilité dans Sophos Antivirus
- CERTA-2005-AVI-287 : Vulnérabilité de Opera
- CERTA-2005-AVI-288 : Vulnérabilité dans ISC DHCPD
- CERTA-2005-AVI-289 : Multiples vulnérabilités des produits Oracle
- CERTA-2005-AVI-290 : Vulnérabilité de IBM Lotus Domino
- CERTA-2005-AVI-291 : Vulnérabilité dans l’interface d’administration de l’équipement McAfee Webshield
- CERTA-2005-AVI-292 : Vulnérabilité de l’éditeur Vim
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-256-006 : Multiples vulnérabilité dans les produits Mozilla
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:120-1)
- CERTA-2005-AVI-276-001 : Vulnérabilité sur la bibliothèque zlib
(ajout des références aux bulletins de sécurité OpenBSD, Gentoo GLSA 200507-19 et Mandriva MDKSA-2005:124)
- CERTA-2005-AVI-255-001 : Multiples vulnérabilités dans les produits Oracle
(ajout des références CVE)
- CERTA-2005-AVI-278-002 : Vulnérabilité dans Fetchmail
(ajout de la référence au bulletin de sécurité OpenBSD)
- CERTA-2005-AVI-278-003 : Vulnérabilité dans Fetchmail
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200507-21)
- CERTA-2005-AVI-256-007 : Multiples vulnérabilité dans les produits Mozilla
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200507-24)
- CERTA-2005-AVI-276-002 : Vulnérabilité sur la bibliothèque zlib
(ajout de la référence au bulletin de sécurité FreeBSD pour zlib du 27 juillet 2005)
- CERTA-2005-AVI-279-001 : Multiples Vulnérabilité dans ClamAV
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200507-25)
- CERTA-2005-AVI-250-004 : Vulnérabilité de dhcpcd
(ajout de la référence au bulletin de sécurité RedHat RHSA-2005:603)
- CERTA-2005-AVI-272-002 : Vulnérabilité de Kate / Kwrite
(ajout de la référence au bulletin de sécurité RedHat RHSA-2005:612)
- CERTA-2005-AVI-279-002 : Multiples Vulnérabilité dans ClamAV
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:125)
- CERTA-2005-AVI-280-001 : Vulnérabilités de Apache
(ajout des références aux bulletins de sécurité FreeBSD)
- CERTA-2005-AVI-224-004 : Vulnérabilité de SquirrelMail
(ajout de la référence au bulletin de sécurité SUSE SUSE-SR:2005:018)
- CERTA-2005-AVI-256-008 : Multiples vulnérabilité dans les produits Mozilla
(ajout des références aux bulletins de sécurité Mandriva MDKSA-2005:127 et SUSE SUSE-SR:2005:018)
- CERTA-2005-AVI-262-001 : Vulnérabilité de SquirrelMail
(ajout de la référence au bulletin de sécurité SUSE SUSE-SR:2005:018)
- CERTA-2005-AVI-276-003 : Vulnérabilité sur la bibliothèque zlib
(ajout de la référence au bulletin de sécurité SUSE SUSE-SA:2005:043)
- CERTA-2005-AVI-278-004 : Vulnérabilité dans Fetchmail
(ajout des références aux bulletins de sécurité Mandriva MDKSA-2005:126 et SUSE SUSE-SR:2005:018)
- CERTA-2005-AVI-279-003 : Multiples Vulnérabilité dans ClamAV
(ajout des références aux bulletins de sécurité OpenBSD et SUSE SUSE-SR:2005:018)
- CERTA-2005-AVI-280-002 : Vulnérabilités de Apache
(ajout de la référence au bulletin de sécurité SUSE SUSE-SR:2005:018)
- CERTA-2005-AVI-287-001 : Vulnérabilité de Opera
(ajout de la référence au bulletin de sécurité OpenBSD)
