S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 02 septembre 2011 No CERTA-2011-ACT-035

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-35

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-035.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-035/

1 Apparition du ver Morto

Le ver Morto est récemment apparu sur les plates-formes Microsoft Windows. Il se propage en utilisant le protocole RDP (Remote Desktop Protocol). Afin d'infecter un poste, ce ver n'exploite pas de vulnérabilité du protocole RDP, il essaie de s'authentifier avec des comptes disposant de mot de passe faible. Le code va en effet tester une liste de noms d'utilisateur communs (adm, admin, backup, owner...) avec un dictionnaire restreint de mot de passe.

La présence des fichiers suivants peut indiquer une infection par le ver :

• %windir%/clb.dll ;
• %windir%/clb.dll.bak ;
• %system%/sens32.dll ;
• %windir%/temp/nthsrui.dll ;
• %windir%/offline web pages/cache.txt.

Une augmentation importante du trafic RDP peut également être un signe de la présence du code malveillant. Le ver dispose de fonctionnalités lui permettant d'arrêter les processus liés à des applications de sécurité. Une description complète des symptômes associés à ce ver peut être trouvée sur la base de connaissances de logiciels malveillants de Microsoft (cf section documentation). Les postes infectés peuvent notamment être utilisés pour réaliser des attaques en déni de service.

Face à cette menace, le CERTA rappelle l'importance de l'utilisation de mots de passe forts. Dans une démarche de défense en profondeur, le CERTA recommande également de faire preuve de prudence lors de l'ouverture de service RDP sur l'extérieur, en mettant en place un mécanisme d'authentification forte, ainsi que des règles de filtrage sur adresses IP des machines autorisées à se connecter au service.

2.1 Documentation

• Base de connaissance de codes malveillants de Microsoft, Worm:WIN32/Morto.A :

  http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fMorto.gen!A
  

• Base de connaissance de codes malveillants de Microsoft, Worm:WIN32/Morto.gen!A :

  http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fMorto.gen!A
  

2 Certificats SSL émis frauduleusement

Cette semaine la presse a relaté la découverte par un internaute d'un faux certificat SSL de serveur, signé par l'autorité de certification néerlandaise DigiNotar.

Cette découverte a été faite alors que l'internaute était victime d'une attaque par interposition (MITM ou man-in-the-middle) alors qu'il consultait un serveur Google. En effet le faux certificat de serveur était valable pour les serveurs du domaine google.com.

DigiNotar a confirmé l'émission frauduleuse du certificat et indiqué que d'autres certificats avaient également été émis.

En réponse à cet incident, certains éditeurs (Debian, Microsoft, Mozilla) ont supprimé le certificat de l'autorité DigiNotar de la liste des certificats préinstallés ou l'ont desactivé.

2.1 Documentation

• Bulletin de sécurité Debian DSA 2299 du 31 août 2011 :

  http://www.debian.org/security/2011/dsa-2299
  

• Bulletin de sécurité Microsoft 2607712 du 29 août 2011 :

  http://www.microsoft.com/france/technet/security/advisory/2607712.mspx
  

• Bulletin de sécurité de la fondation Mozilla 2011/mfsa2011-34 du 30 août 2011 :

  http://www.mozilla.org/security/announce/2011/mfsa2011-34.html
  

• Bulletin du GOVCERT.NL du 31 août 2011 :

  http://www.govcert.nl/english/service-provision/knowledge-and-publication/factsheets/factsheet-fraudulent-issued-security-certificat-discovered.html
  

• Billet de l'US-CERT du 30 août 2011 :

  http://www.us-cert.gov/current/#fraudulent_diginotar_ssl_certificate
  

3 Compromission de kernel.org

Le 28 août dernier, une compromission a été détectée sur le site kernel.org, hébergeant le code source du noyau Linux. L'intrusion aurait eu lieu un peu plus tôt dans le mois.

Les attaquants ont pu obtenir les droits d'administration du serveur (root) mais la méthode utilisée pour l'élévation de privilèges n'est pour l'instant pas connue. L'accès au serveur aurait été effectué au moyen d'un compte utilisateur compromis et un cheval de Troie a été déposé. Celui-ci a été découvert suite à l'apparition de traces suspectes. Celles-ci concernaient un message d'erreur de Xnest alors que ce logiciel n'était pas installé sur le serveur.

Une réinstallation complète du serveur est prévue ainsi qu'un audit du code hébergé afin de vérifier l'intégrité de celui-ci. L'ensemble des 448 comptes utilisateurs vont être réinitialisés.

Le CERTA rappelle que la mise en place d'un processus de surveillance des journaux permet dans de nombreux cas de détecter au plus tôt des signes d'intrusion, ce qui a été le cas pour ce serveur.

Documentation

• Annonce sur le site kernel.org :

  http://www.kernel.org
  

4 Liens utiles

• Mémento sur les virus :

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-002/
  

• Note d'information du CERTA sur l'acquisition de correctifs :

  http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-004/
  

• Note d'information du CERTA sur les systèmes obsolètes :

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003/
  

• Note d'information du CERTA sur les bonnes pratiques concernant l'hébergement mutualisé :

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005/
  

• Note d'information du CERTA sur les mots de passe :

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001/
  

• Note d'information sur la terminologie d'usage au CERTA :

  http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-002/
  

• Note d'information du CERTA sur les enjeux de sécurité liés à une migration vers IPv6 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/
  

• Unix security checklist version 2.0 du 8 octobre 2001 (Publication du CERT australien) :

  http://www.auscert.org.au/render.html?it=1937
  

• Note d'information du CERTA sur les risques associés aux clés USB :

  http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006/
  

• Note d'information du CERTA sur les outils d'indexation et de recherche :

  http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-009/
  

• Note d'information du CERTA sur la gestion des noms de domaine :

  http://www.certa.ssi.gouv.fr/site/CERTA-2007-INF-001/
  

• Note d'information du CERTA sur le bon usage de PHP :

  http://www.certa.ssi.gouv.fr/site/CERTA-2007-INF-002/
  

5 Rappel des avis émis

• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-473/index.htmlCERTA-2011-AVI-473 : Vulnérabilité dans SAP NetWeaver
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-474/index.htmlCERTA-2011-AVI-474 : Vulnérabilité dans IBM Rational ClearCase et ClearQuest
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-475/index.htmlCERTA-2011-AVI-475 : Multiples vulnérabilités dans phpMyAdmin versions 33.0 à 3.4.3.2
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-476/index.htmlCERTA-2011-AVI-476 : Vulnérabilités dans Xerox FreeFlow Print Server
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-477/index.htmlCERTA-2011-AVI-477 : Vulnérabilités dans Cisco Intercompany Media Engine
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-478/index.htmlCERTA-2011-AVI-478 : Vulnérabilités dans Cisco Unified Communications Manager
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-479/index.htmlCERTA-2011-AVI-479 : Vulnérabilité dans Cisco Unified Communications Manager et Cisco Unified Presence Server
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-480/index.htmlCERTA-2011-AVI-480 : Vulnérabilité dans Squid
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-481/index.htmlCERTA-2011-AVI-481 : Vulnérabilité dans le routeur Wifi Asus RT-N56U
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-482/index.htmlCERTA-2011-AVI-482 : Vulnérabilité dans DotNetNuke
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-483/index.htmlCERTA-2011-AVI-483 : Vulnérabilité dans IBM Tivoli Storage Productivity Center
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-484/index.htmlCERTA-2011-AVI-484 : Vulnérabilité dans IBM Tivoli Federated Identity Manager
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-485/index.htmlCERTA-2011-AVI-485 : Vulnérabilité dans Apache Tomcat
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-486/index.htmlCERTA-2011-AVI-486 : Vulnérabilités dans Opera
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-487/index.htmlCERTA-2011-AVI-487 : Multiples vulnérabilités dans HP-UX Veritas Enterprise Administrator
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-488/index.htmlCERTA-2011-AVI-488 : Vulnérabilité dans Cisco NX-OS
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-489/index.htmlCERTA-2011-AVI-489 : Vulnérabilité dans IBM WebSphere Application Server Community Edition
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-490/index.htmlCERTA-2011-AVI-490 : Vulnérabilité dans Apache httpd
• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-491/index.htmlCERTA-2011-AVI-491 : Vulnérabilité dans IBM WebSphere Application Server Administrative Console

Durant la même période, les publications suivantes ont été mises à jour :

• http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-461/index.htmlCERTA-2011-AVI-461-001 : Vulnérabilités dans PHP (ajout du correctif de la version 53.8 du 23 août 2011.)

Gestion détaillée du document

02 septembre 2011

version initiale.