Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-035

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 01 septembre 2006
No CERTA-2006-ACT-035

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-35

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-035/

2 Incidents traités

2.1 Défigurations

Le CERTA a traité cette semaine deux cas de défiguration de site web. Dans les deux cas, les auteurs des faits ont profité de droits en écriture laissés accidentellement par l'administrateur. Pour l'une de ces défigurations, l'analyse des journaux a permis de montrer que de nombreuses attaques avaient eu lieu sur plusieurs jours en exploitant toujours la même vulnérabilité. Des fichiers ont été déposés sur le site vulnérable.

Des droits en écriture sont parfois laissés afin de faciliter les mises à jour des contenus des sites web. Il est important dans ce cas de restreindre les adresses IPs accédant à cette fonctionnalité, ou déployer des procédures d'authentification.

2.2 Ver ciblant MS06-040

Le CERTA a été informé de la compromission de nombreuses machines en France. Au total, 26000 adresses IPs distinctes ont été identifiées (en tenant compte de l'adressage dynamique, ce chiffre représente probablement moins de machines physiques infectées).

Le ver à l'origine de ces compromissions avait été signalé dans le bulletin d'actualité CERTA-2006-ACT-033. Il porte différents noms : Graweg, MocBot, W32.Wargbot, W32/SDbot, W32/Vanebot, W32.Randex. Deux enregistrements dans la base CME (Common Malware Enumeration : http://cme.mitre.org) lui sont dédiés : CME-762 et CME-482.

Plusieurs variantes de celui-ci sont identifiées, dont le comportement consiste à établir des connexions vers des serveurs à l'étranger sur le port 18067/TCP ou 4915/TCP.

Recommandations

Le CERTA recommande d'appliquer les correctifs de sécurité mis à disposition par Microsoft dans le bulletin MS06-040 (CERTA-2006-AVI-338). D'autre part, le CERTA suggère de surveiller dans les journaux des pare-feux d'éventuelles connexions vers les ports 18067/TCP et 4915/TCP.

3 Rappel des avis et mises à jour émis

Durant la période du 25 au 31 août 2006, le CERTA a émis l'alerte suivante :

  • CERTA-2006-ALE-011 : Multiples vulnérabilités de produits Microsoft

Pendant la même période, le CERTA a publié les avis suivants :

  • CERTA-2006-AVI-372 : Vulnérabilité dan Xsan Filesystem
  • CERTA-2006-AVI-373 : Multiples vulnérabilités dans Wireshark (Ethereal)
  • CERTA-2006-AVI-374 : Vulnérabilités dans VAIO Media Server
  • CERTA-2006-AVI-375 : Multiples vulnérabilités dans Joomla!
  • CERTA-2006-AVI-376 : Vulnérabilité dans isakmpd sous OpenBSD
  • CERTA-2006-AVI-377 : Vulnérabilité dans XOrg X11 et des bibliothèques associées
  • CERTA-2006-AVI-378 : Vulnérabilité dans Sendmail
  • CERTA-2006-AVI-379 : Vulnérabilité dans solaris
  • CERTA-2006-AVI-380 : Multiples vulnérabilités des Imprimantes Dell
  • CERTA-2006-AVI-381 : Multiples vulnérabilités dans le noyau Linux

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-340-001 : Multiples vulnérabilités dans Internet Explorer

    (modification liée à la seconde version du correctif)

Gestion détaillée du document

01 septembre 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012