CERTA
|
CERTA Centre d'Expertise Gouvernemental de |
 |
|
Affaire suivie par : CERTA Objet : Bulletin d'actualité
N°2
Gestion du document
Une gestion de version détaillée se trouve à la fin de ce document. 1 Activité en coursLe tableau des paquets rejetés (cf. table 2) montre l'activité entrante refusée sur deux pare-feux configurés pour tout bloquer par défaut et n'autoriser que quelques services sur quelques serveurs. Les ports présents dans ce tableau ont été choisis pour leur fréquence d'apparition ou pour leur caractère dangereux constaté dans des incidents traités par le CERTA. Il s'agit de déterminer à quoi correspondent ces paquets rejetés et quels sont les enseignements pragmatiques en termes d'administration quotidienne de la sécurité que l'on peut retirer de l'observation de ces rejets de paquets. Durant la période du 13 mai 2004 au 20 mai 2004, l'activité a été à peu près équivalente sur les ports 135/tcp et 445/tcp. Malgré des mesures de filtrage spécifiques mises en place par des fournisseurs d'accès, ces deux ports sont toujours les plus recherchés. Les rejets sur les ports 135/tcp et 445/tcp représentent, à eux deux, plus de la moitié des rejets constatés. L'activité des vers Bobax et Kibuv se traduit par la brusque augmentation des rejets sur le port 5000/tcp (voir Actualité particulière). Un paquet sur vingt rejetés semble lié à ces deux vers. Le ver Dabber qui exploite le serveur ftp déposé par le ver Sasser, et en écoute sur le port 5554/tcp, ne semble pas s'être propagé aussi rapidement que Bobax et Kibuv. Le port 5554/tcp est parfois recherché en même temps que le port 9898/tcp qui correspond à la porte dérobée laissée par Dabber. ,D,,2 /D//2 2 Actualité particulière2.1 Le ver SasserDurant la semaine du 13 mai 2004 au 20 mai 2004, le nombre de rejets sur le port 445/tcp a diminué, pour revenir au niveau du début du mois d'avril 2004, c'est-à-dire avant que ne soit rendue publique la faille affectant le service lsass de Windows. Plusieurs raisons peuvent expliquer ce phénomène :
2.2 Les vers Bobax et KibuvLes vers Bobax et Kibuv ont fait leur apparition à la mi-mai 2004. Ces vers se distinguent car ils recherchent le port 5000/tcp. Ce port correspond généralement au service UPnP de Microsoft qui permet de détecter les périphériques sur le réseau. Ce service est installé et lancé par défaut sur les machines sous Windows XP. Le scan sur le port 5000/tcp est la signature de ces vers probablement dans le but d'identifier les machines sous Windows XP afin de les compromettre en exploitant diverses failles (dont lsass). Ces vers ne se propagent pas en exploitant la faille de UPnP découverte en 2001. L'application des correctifs de Microsoft est la meilleure parade à ces vers. Des règles de filtrage sur le port 5000/tcp sont également adéquates (même si elles ne suffisent pas) puisque le trafic sur le port 5000/tcp ne devrait pas circuler sur l'Internet. 3 Actions suggérées3.1 Respecter la politique de sécuritéQuoique puisse suggérer ce document, la politique de sécurité en vigueur dans votre service doit primer. Cette section précise néanmoins quelques mesures générales de nature à vous prémunir contre les agressions décrites dans ce document. 3.2 Appliquer les correctifs de sécurité
La table 3 rappelle les avis du CERTA correspondant aux applications ou codes malveillants relatifs aux ports étudiés dans les sections précédentes. 3.3 Utiliser un pare-feuL'application des correctifs sur un parc informatique important n'est probablement pas immédiat. Un pare-feu correctement configuré peut retenir les attaques informatiques le temps d'appliquer les correctifs. Cependant un pare-feu peut donner une illusion de protection. Cette protection est brisée par la moindre introduction d'un ordinateur nomade dans la partie protégée.. On remarque qu'il y a de nombreux paquets rejetés à destination de ports légitimement utilisés par des applications de prise de main à distance. La téléadministration correspond à une demande qui grandit avec la taille du parc à gérer. Les paquets rejetés montrent le risque associé à ce type d'application. Ce risque peut être amoindri par l'usage d'un pare-feu. 3.4 Analyser le réseauDe nombreux paquets rejetés étudiés correspondent aux ports ouverts par divers virus/vers/chevaux de Troie. Si votre politique de sécurité autorise le balayage des ports ouverts sur les postes de travail ou les serveurs, il peut s'avérer utile de le faire régulièrement de sorte à découvrir les machines potentiellement contaminées avant qu'un intrus ne le fasse à votre place. 3.5 Réagir aux incidents de sécuritéLe CERTA a pour mission de vous aider à répondre aux incidents de sécurité informatique. N'hésitez pas à prendre contact avec le CERTA si vous constatez de l'activité sur les ports décrits ci-dessus.
Liste des tableaux
Gestion détaillée du document
CERTA 2012-01-04 |
|
||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
)
![\includegraphics[width=\columnwidth]{particulier445}](img1.png)
![\includegraphics[width=\columnwidth]{particulier5000}](img2.png)