=========================================================== Bulletin hebdomadaire du CERT RENATER =========================================================== Bonjour, Durant la semaine du 14/01/12 au 19/01/12, 12 cas de compromission ont été portés à notre attention. Au total, 182006 adresses IP ont été scannées par 1701 sources distinctes. Table des matières des sujets abordés: * Compromissions et attaques de la semaine * Infection par le ver W32/Conficker * Mise à jour Oracle de Janvier * Failles de sécurité dans des applications PHP/CGI * Liste des scans * Vers, Virus, Chevaux de Troie Compromissions et attaques de la semaine --------------------------------------- Cette semaine deux serveurs web compromis à partir du vol d'identifiant FTP d'un utilisateur ont été mis au jour. Le premier serveur a été utilisé pour mettre en ligne un faux site bancaire de type phishing. Sur le deuxième les intrus ont ajouté discrètement un code javascript malveillant sur toutes les pages webs du site. L'analyse de l'incident a permis de mettre en évidence le vol des identifiants FTP d'un utilisateur et de l'administrateur du site web. Ces identifiants ont probablement été récupéré via l'infection du poste de l'utilisateur. Plusieurs cas similaires nous ont déjà été signalés ces derniers mois. Il est possible que le problème est comme origine l'exploitation des récentes failles Java ou PDF, ou bien directement via l'infection par un ver comme le ver Ramnit http://blog.seculert.com/2012/01/ramnit-goes-social.html Sur un même site 5 machines de travail ont été infectées par un cheval de troie par le biais de la récente faille JAVA nommée "Java Rhino vulnerability" (CVE-2011-3544) suite à la visite d'un site web infecté contenant un fichier ".jar" infecté. Les traces enregistrées lors de cette attaque montrent clairement l'utilisation d'un kit "exploit kit" spécialement conçu pour infecter les postes via l'utilisation des dernières vulnérabilités: http://labs.m86security.com/2011/12/prevalent-exploit-kits-updated-with-a-new-java-exploit/ http://www.securelist.com/en/analysis/204792160/Exploit_Kits_A_Different_View La vulnérabilité JAVA signalée au mois de Novembre 2011 est utilisée par quasiment tous les kits d'attaques "exploit kit", dont le nombre est en constante augmentation. Ces kits permettent d'infecter et de prendre la main sur les postes vulnérables. Parmi les failles les plus couramment utilisé par ces kits on note les failles PDF et Java. Les postes non mis à jour seront des cibles de premier choix pour toutes sortes d'attaques! Pour les personnes qui ont besoin d'utiliser JAVA, la dernière version à jour est la version 6.0 \ 30 :http://www.java.com Pour en savoir plus sur la faille "Java Rhino Script Engine" et sur l'impérieuse nécessité de mettre à jour JAVA: http://schierlm.users.sourceforge.net/CVE-2011-3544.html http://www.f-secure.com/weblog/archives/00002285.html Trois autres machines compromisses ont été utilisés pour lancer une attaque de déni de service distribué. Les trois postes ont pu être coupés du réseau. Il s'agissait d'un déni de service de type envoi de paquets de type syn avec un débit d'environ 40 Mb/s. L'analyse des postes est toujours en cours. Deux autres ordinateurs, compromis par l’intermédiaire d'un accès non autorisé à un compte SSH mal protégé ont aussi été identifié suite à la détection d'une activité de scans réseau sur le port 22/TCP. Dans un des cas, il s’agissait d’un serveur en cours d’installation en collaboration avec des prestataires extérieurs. Le mot de passe par défaut du produit avait été laissé en l’état alors que l’accès au serveur avait été ouvert pour les prestataires. Ce serveur a été attaqué par un robot, puis utilisé pour lancer des recherches d’accès SSH vulnérables. Il convient de faire attention à modifier les mot de passe par défaut des machines dès le début de leur installation, quitte à ouvrir un compte ad hoc pour les prestataires extérieurs Infection par le ver W32/Conficker ---------------------------------- Cette semaine, 410 adresses IP uniques infectées par le ver W32/Conficker nous ont été signalées. Afin de faciliter la détection des postes infectés, plusieurs liens permettant de tester directement les postes en ligne ont été mis en place. L'utilisation de scanner pour la détection de poste infecté est aussi possible. Sites de référence: http://www.confickerworkinggroup.org/wiki/ http://www.dshield.org/conficker Critical Patch Oracle --------------------- Cette semaine, Oracle a publié un "Critical Patch" couvrant pas moins de 78 problèmes de sécurité sur les produits suivants: Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3 Oracle Database 11g Release 1, version 11.1.0.7 Oracle Database 10g Release 2, versions 10.2.0.3, 10.2.0.4, 10.2.0.5 Oracle Database 10g Release 1, version 10.1.0.5 Oracle Fusion Middleware 11g Release 1, versions 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0 Oracle Application Server 10g Release 3, version 10.1.3.5.0 Oracle Outside In Technology, versions 8.3.5, 8.3.7 Oracle WebLogic Server, versions 9.2.4, 10.0.2, 11gR1 (10.3.3, 10.3.4, 10.3.5) Oracle E-Business Suite Release 12, versions 12.1.2, 12.1.3 Oracle E-Business Suite Release 11i, version 11.5.10.2 Oracle Transportation Management, versions 5.5, 6.0, 6.1, 6.2 Oracle PeopleSoft Enterprise CRM, version 8.9 Oracle PeopleSoft Enterprise HCM, versions 8.9, 9.0, 9.1 Oracle PeopleSoft Enterprise PeopleTools, version 8.52 Oracle JDEdwards, version 8.98 Oracle Sun Product Suite Oracle VM VirtualBox, version 4.1 Oracle Virtual Desktop Infrastructure, version 3.2 Oracle MySQL Server, versions 5.0, 5.1, 5.5 Il est recommandé de consulter dès que possible les avis publiés par l'éditeur afin de procéder aux mesures correctives qui s'imposent pour se protéger des risques introduits par ces failles de sécurité dans les systèmes. Pour en savoir plus: Oracle Critical Patch Update pour Janvier 2012: http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html Failles de sécurité dans des applications PHP/CGI ------------------------------------------------- Moodle Des vulnérabilités ont été signalées dans l'application Moodle.Les entrées passées par certains paramètres non spécifiés ne sont pas correctement vérifiées avant d'être utilisées pour construire desemails. Cela peut être utilisé pour injecter des en-têtes d'email arbitraires. Cette vulnérabilité est signalée dans les versions 1.9 jusqu'à 1.9.15+, 2.0 jusqu'à 2.06+, 2.1 jusqu’à 2.1.3+ et 2.2. Il est recommandé de passer à la version 1.9.16, 2.0.7, 2.1.4 ou 2.2.1. Une erreur dans l'application qui n'invalide pas correctement la session d'un utilisateur effacé peut être exploitée pour contourner le mécanisme d'authentification en fournissant un jeton. Cette vulnérabilité est signalée dans les versions 2.0 jusqu'à 2.06+, 2.1 jusqu’à 2.1.3+ et 2.2. Il est recommandé de passer à la version 2.0.7, 2.1.4 ou 2.2.1. Une erreur dans la fonction d'auto-inscription permet à une personne possédant un compte de type professeur de s'inscrire à un cours commemanager. Cette vulnérabilité est signalée dans les versions 2.1 jusqu’à 2.1.3+ et 2.2. Il est recommandé de passer à la version 2.1.4 ou 2.2.1. Pour en savoir plus Moodle (MSA-12-0007, MSA-12-0008, MSA-12-0009): http://moodle.org/mod/forum/discuss.php?d=194015 http://moodle.org/mod/forum/discuss.php?d=194016 http://moodle.org/mod/forum/discuss.php?d=194017 Composant Discussions pour Joomla! Une vulnérabilité a été signalée dans le composant Discussion pour Joomla!. Les données passées par le paramètre "catid" du script index.php ne sont pas correctement vérifiées avant d'être utilisées dans des requêtes SQL. Cela peut être utilisé pour manipuler des requêtes SQL par injection de code SQL arbitraire. Cette vulnérabilité est signalée dans la version 1.4. Pour en savoir plus: http:// secunia.com/advisories/47561/ Composant HD Video Share pour Joomla! Une vulnérabilité a été signalée dans le composant HD Video Share pour Joomla!. Les données passées par le paramètre "id" du script index.php ne sont pas correctement vérifiées avant d'être utilisées dans des requêtes SQL. Cela peut être utilisé pour manipuler des requêtes SQL par injection de code SQL arbitraire. Cette vulnérabilité est signalée dans la version 1.3. Pour en savoir plus: http://secunia.com/advisories/47546/ Plugin Count Per Day pour wordPress Des vulnérabilités ont été signalées dans le plugin Count Per Day pour wordPress. Les données passées par le paramètre "map" du script wp-content/plugins/count-per-day/map/map.php ne sont pas correctement vérifiées avant d'être retournées à l'utilisateur. Cela peut être utilisé pour introduire du code HTML ou script arbitraire qui sera exécuté dans le navigateur de l'utilisateur consultant un site impacté. Les données passées par le paramètre "f" du script wp-content/plugins/count-per-day/download.php ne sont pas correctement vérifiées avant d'être utilisées pour afficher des fichiers. Cela peut être utilisé pour afficher le contenu de fichier locaux arbitraires via des attaques en traversée de répertoire. Ces vulnérabilités sont confirmées dans la version 3.1. Il est recommandé de passer à la version 3.1.1. Pour en savoir plus Count Per Day: http://wordpress.org/extend/plugins/count-per-day/changelog/ http://plugins.trac.wordpress.org/changeset/488883/count-per-day Plugin myEASYbackup pour WordPress Une vulnérabilité a été signalée dans le Plugin myEASYbackup pour WordPress. Les données passées par le paramètre "dwn_file" du script wp-content/plugins/myeasybackup/meb_download.php php ne sont pas correctement vérifiées avant d'être utilisées pour afficher des fichiers. Cela peut être utilisé pour afficher le contenu de fichier locaux arbitraires via des attaques en traversée de répertoire. Cette vulnérabilité est signalée dans la version 1.0.8.1. Pour en savoir plus WordPress myEASYbackup Plugin "dwn_file" File Disclosure Vulnerability http://secunia.com/advisories/47594/ Plugin My Calendar pour WordPress Une vulnérabilité a été signalée dans le plugin My Calendar pour WordPress. Les données passées par l’URL ne sont pas correctement vérifiées avant d'être retournées à l'utilisateur. Cela peut être utilisé pour introduire du code HTML ou script arbitraire qui sera exécuté dans le navigateur de l'utilisateur consultant un site impacté. Cette vulnérabilité est signalée dans la version 1.10.1. Il est recommandé de passer à la version 1.10.5. Pour en savoir plus My Calendar Plugin: http://wordpress.org/extend/plugins/my-calendar/changelog/ http://plugins.trac.wordpress.org/changeset/490070/my-calendar#file2 Plugin NextGEN Gallery pour Drupal Une vulnérabilité a été signalée dans le plugin NextGEN Gallery pour Drupal. Les données passées par le paramètre "paged" des scripts admin/manage-galleries.php, admin/manage-images.php et admin/manage.php ainsi que le paramètre "post_paged" du script admin/manage.php. Les détails de cette faille n'ont pas été diffusés. Ces vulnérabilités sont signalées dans les versions antérieures à 1.9.1. Il est recommandé de passer à la version 1.9.1. Pour en savoir plus: Original Advisory http://wordpress.org/extend/plugins/nextgen-gallery/changelog/ http://code.google.com/p/nextgen-gallery/source/detail?r=1048 Module Quick Tabs pour Drupal Une vulnérabilité a été signalée dans le module Quick Tabs pour Drupal. Certaines entrées non précisées ne sont pas correctement vérifiées avant d'être retournées à l'utilisateur. Cela peut être utilisé pour introduire du code HTML ou script arbitraire qui sera exécuté dans le navigateur de l'utilisateur consultant un site impacté. Cette vulnérabilité a été signalée dans les versions 6.x-2.x antérieure à 6.x-2.1, 6.x-3.x antérieure à 6.x-3.1, et 7.x-3.x antérieure à 7.x-3.3. Il est recommandé de passer à la version 6.x-2.1, 6.x-3.1 ou 7.x-3.3. Pour en savoir plus: SA-CONTRIB-2012-012: http://drupal.org/node/1409476 Module Panels pour Drupal Une vulnérabilité a été signalée dans le module Panels pour Drupal. Certaines entrées non précisées ne sont pas correctement vérifiées avant d'être retournées à l'utilisateur. Cela peut être utilisé pour introduire du code HTML ou script arbitraire qui sera exécuté dans le navigateur de l'utilisateur consultant un site impacté. Cette vulnérabilité a été signalée dans les versions antérieures à 6.x-.3.10. Il est recommandé de passer à la version 6.x-3.10. Pour en savoir plus SA-CONTRIB-2012-011: http://drupal.org/node/1409436 Module Stickynote pour Drupal Des vulnérabilités ont été signalées dans le module Panels pour Drupal. Certaines entrées non précisées ne sont pas correctement vérifiées avant d'être retournées à l'utilisateur. Cela peut être utilisé pour introduire du code HTML ou script arbitraire qui sera exécuté dans le navigateur de l'utilisateur consultant un site impacté. L'application permet aux utilisateurs d'accomplir certaines actions via des requêtes HTTP sans en vérifier la validité. Cela peut être utilisé en incitant des utilisateurs connectés à visiter un site web malicieux. Ces vulnérabilités ont été signalées dans les versions antérieures à 7.x-1.1. Il est recommandé de passer à la version 7.x-1.1. Pour en savoir plus SA-CONTRIB-2012-010: http://drupal.org/node/1409422 Liste des scans --------------- Total destinations: 182006 Total sources (distinctes): 1701 Port Protocole Sources Destinations 445 tcp 552 32.45% 36797 20.22% 1434 udp 63 3.70% 35677 19.60% 1433 tcp 161 9.47% 24324 13.36% 80 tcp 93 5.47% 22717 12.48% 21 tcp 48 2.82% 7058 3.88% 0 icmp 110 6.47% 5803 3.19% 22 tcp 75 4.41% 5350 2.94% 139 tcp 238 13.99% 4368 2.40% 23 tcp 103 6.06% 4283 2.35% 5060 udp 44 2.59% 3747 2.06% 3389 tcp 41 2.41% 3395 1.87% 25 tcp 34 2.00% 3184 1.75% 8080 tcp 21 1.23% 2077 1.14% 137 udp 151 8.88% 1798 0.99% 443 tcp 16 0.94% 1450 0.80% 3306 tcp 7 0.41% 1283 0.70% 5900 tcp 31 1.82% 1158 0.64% 3072 tcp 22 1.29% 1039 0.57% 1024 tcp 22 1.29% 1007 0.55% 8000 tcp 8 0.47% 715 0.39% 27977 tcp 4 0.24% 670 0.37% 8085 tcp 4 0.24% 654 0.36% 9415 tcp 4 0.24% 536 0.29% 1234 tcp 7 0.41% 528 0.29% 8118 tcp 4 0.24% 486 0.27% 9000 tcp 4 0.24% 477 0.26% 4899 tcp 5 0.29% 471 0.26% 8090 tcp 4 0.24% 463 0.25% 2479 tcp 4 0.24% 450 0.25% 135 tcp 6 0.35% 429 0.24% Vers, Virus, Chevaux de Troie ----------------------------- Cette semaine, 42 machines infectées par divers vers ou virus ont étédétectées dans notre communauté. Dans le lot on trouve: 13 postes étaient infectés par une variante du cheval de Troie mebroot/Sinowal/Torpig. Ces malwares sont notamment utilisés pour dérober des informations confidentielles telles que les mots de passe et les données bancaires. La désinfection des postes pourrait être facilitée par l'utilisation d'outils spécifiques. Détails et analyses: MBR/Mebroot/Sinowal/Torpig is back: http://www.trustdefender.com/blog/2009/01/07/mbrmebrootsinowaltorpig-is-back-%E2%80%93-better-than-ever/ 13 machines infectées par le ver Internet "Win32.Sality" ont aussi été mises au jour cette semaine. Les machines infectées ont comme particularité de se connecter aux sites kukutrustnet777[.]info, kjwre9fqwieluoi[.]info et bpbrfectchoice1[.]com et autres. Détails et analyses: http://www.threatexpert.com/reports.aspx?find=Win32.Sality Statistiques Virales -------------------- Nom Nombre Worm.Mydoom.M 687 Heuristics.Phishing.Email.SpoofedDomain 613 Email.Phishing.Pay-5 159 Suspect.DoubleExtension-zippwd-9 126 Suspect.DoubleExtension-zippwd-12 39 HTML.Phishing.Bank-593 28 Heuristics.Phishing.Email.SSL-Spoof 20 Email.Phishing.Pay-46 19 W32.Sality.Q-1 15 Email.Phishing.Bank-221 13 Worm.Mydoom.I 9 HTML.Phishing.Bank-1257 8 HTML.Phishing.Bank-473 8 Email.Phishing-5 7 Email.Phishing.Bank-220 6 HTML.Phishing.Bank-1269 6 HTML.Phishing.Bank-218 5 Email.Trojan-300 4 Trojan.GenericFF-1 4 Email.Trojan-290 4 Exploit.RTF-2 4 Email.Phishing.Webmail-37 4 HTML.Phishing.Bank-573 4 Email.Phishing.Bank-203 3 HTML.Phishing.Pay-6 3 Email.Phishing.Webmail-28 3 Email.Phishing.Webmail-4 3 Email.Trojan-286 2 Email.Phishing.Anglo 2 HTML.Phishing.Bank-485 2 Cordialement, ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris |email:certsvp@renater.fr + ========================================================= --------------ms010007010702040300060207