1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 01 et le 08 septembre 2005.
1.2 Incidents traités
Le CERTA traite actuellement un cas de compromissions massives. Au moins 80 machines sous linux sont compromises, toutes par l’exploitation d’un mot de passe trivial pour un compte ne disposant pas de privilèges élevés. L’outil utilisé par le pirate pour découvrir ces mots de passe repose sur un fichier contenant plus de 70000 noms de compte et plus de 80000 mots de passe différents.
Le pirate se connecte donc sur les machines avec un compte non privilégié découvert avec l’outil décrit ci-dessus, puis élève ses droits sur le système, probablement en exploitant une faille du noyau. Il installe ensuite un rootkit (ensemble d’outils dont le but est de camoufler le piratage), un sniffer réseau (outil permettant de récupérer les informations transitant « en clair » sur le réseau local, ce qui inclut notamment les identifiants de compte et les mots de passe), et des outils permettant de compromettre des serveurs web via une faille de AWstats.pl (voir avis CERTA-2005-AVI-035). Enfin, un robot qui se connecte automatiquement sur un serveur irc a été retrouvé.
Recommandation :
Cet incident montre que les failles permettant l’élévation de privilèges ne sont pas à négliger : elles sont parfois exploitées, en combinaison d’une autre vulnérabilité, afin d’obtenir les droits de l’administrateur sur une machine. La première étape repose encore une fois sur l’exploitation d’un mot de passe faible.
Il est recommandé aux administrateurs d’appliquer tous les correctifs affectant leurs systèmes d’exploitation, et d’utiliser de temps en temps des outils pour vérifier la robustesse des mots de passe.
2 Rappel des avis et mises à jour émis
Durant la période du 29 août au 02 septembre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-322 : Vulnérabilité dans les produits Adobe Acrobat
- CERTA-2005-AVI-323 : Vulnérabilité dans Cisco Intrusion Prevention System
- CERTA-2005-AVI-324 : Vulnérabilité sur Novell Netware
- CERTA-2005-AVI-325 : Vulnérabilité des clients DHCP sous Solaris 10
- CERTA-2005-AVI-326 : Vulnérabilité de DameWare Mini Remote Control
- CERTA-2005-AVI-327 : Vulnérabilité de l’interface utilisateur du Firewall de Microsoft Windows
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2004-AVI-308-003 : Vulnérabilité dans OpenSSH
(ajout référence au bulletin de sécurité ASA-2005-167 de Avaya)
- CERTA-2004-AVI-385-002 : Vulnérabilité dans OpenSSL
(ajout de la référence au bulletin de sécurité Avaya)
- CERTA-2005-AVI-183-006 : Vulnérabiltés dans gzip
ajout de la référence au bulletin de sécurité Avaya ASA-2005-172)
- CERTA-2005-AVI-317-001 : Vulnérabilité dans Cisco Clean Access
(ajout de la référence au bulletin de sécurité Cisco #66147)
- CERTA-2005-AVI-284-002 : Multiples vulnérabilités dans le logiciel Ethereal
(ajout des références aux bulletins de sécurité SuSE, Red Hat, Mandriva et Avaya)
- CERTA-2005-AVI-292-002 : Vulnérabilité de l’éditeur Vim
(ajout des références aux bulletins de sécurité RedHat, Mandriva et Avaya)
- CERTA-2005-AVI-307-002 : Vulnérabilité de AWStats
(ajout du bulletin de sécurité Gentoo et SuSE)
- CERTA-2005-AVI-311-002 : Multiples vulnérabilités dans Gaim
(ajout des bulletins de sécurité Mandriva, Gentoo et SuSE)
- CERTA-2005-AVI-322-001 : Vulnérabilité dans les produits Adobe Acrobat
(version ajout de la référence au bulletin de sécurité du CERTA)
