Bonjour,
A toutes fins utiles, voici une copie du bulletin de s�curit�
hebdomadaire du CERT Renater:
==================================================================
Bonjour,
Durant la semaine du 21/03/2003 au 27/03/2003, 2796
incidents de securite ont pu etre enregistres.
Cette semaine 8 machine compromises nous ont ete signalees.
Compromissions sous Mandrake 8.0
------------------------------
Cette machine compromise a ete detectee grace aux messages d'alertes
suivants :
Mar 16 04:16:47 nina : Security Warning: Change in Suid Root files
Mar 16 04:16:47 nina : - Removed suid root files : /usr/bin/crontab
Mar 16 04:16:47 nina : Security Warning: Changes in Suid Group files
Mar 16 04:16:47 nina : - Removed suid group files : /usr/bin/locate
Mar 16 04:16:47 nina : Security Warning: Change in World Writeable
...
generes par un outil de controle d'integrite.
L'administrateur a pu identifier que le fichier /etc/rc.d/rc.sysinit
a ete modifie pour activer une backdoor ssh en ecoute sur le port
2003
"/usr/sbin/arobia -q -p 2003"
Deux fichiers caches ont aussi pu etre decouverts :
/usr/lib/elm/arobia
/dev/lnx
Attaque sous Solaris 8
---------------------
Cette premiere attaque aurait du aboutir a l'installation
du rootkit X-Org SunOS Rootkit v2.5DXE installe par defaut sous
"/usr/lib/libX.a". Mais le pirate n'a pas pu l'installer.
La seule constatation a ete le changement du mot de passe de
l'utilisateur 'root' - manipulation d'une discretion douteuse.
Sur le meme site, dans le meme temps, une deuxieme machine
sous Red Hat semble avoir ete utilisee comme serveur IRC.
Compromission multiple sur un site
---------------------------------
Sur un meme site, trois machines ont ete compromises.
L'une d'elle est sous SunOS 5.6 sur laquelle a ete decouvert
un "redirecteur" IRC (PsyBNC) en activite sur le port 31337.
Le pirate aurait utilise une vulnerabilite du service telnet.
Sur les deux autres, on a detecte une backdoor SSH en ecoute
sur le port 5000. L'une d'elle hebergeait egalement un
redirecteur IRC (type PsyBNC) sur le port 4000.
Piratage sous Windows 2000
-------------------------
Cette machine, hebergeant un serveur Apache et un serveur de base de
donnees, n'etait accesible que par le service web. Il est donc
vraisemblable qu'une vulnerabilite de ce service ait ete utilise.
Il a ete retrouve 3 serveurs FTP donnant acces a l'ensemble du
disque,
ouverts entre autre sur le port 21 ainsi qu'un programme
d'administration
ouvert en ecoute sur le port 43958 - port utilis� par defaut pour
administrer le serveur FTP Serv-U.
De plus, un utilisateur "NetShowService " a ete cree et un robot
IRC a ete installe.
Serveur FTP pirate
-----------------
Cette semaine 11 serveurs FTP Warez ont ete detectes,
installes a des fins de distribution de materiel pirate,
6 dans notre communaute, 5 dans divers autres pays.
Liste des scans
--------------
Les vers Windows (ou outils de compromissions automatises ciblant ce
meme systeme d'exploitation) detiennent toujours la tete du
classement :
- 19614 scans sur le port 80 (http)
- 15449 scans sur le port 137 (netbiosns)
- 2682 scans sur le port 445 (microsoftds)
- 348 scans sur le port 1433 (mssqls)
- 324 scans sur le port 135 (locsrv)
- 293 scans sur le port 139 (netbiosssn)
- 237 scans sur le port 21 (ftp)
- 221 scans icmp de type icmp
- 184 scans sur le port 3128 (squid)
- 169 scans sur le port 1080 (socks)
- 159 scans sur le port 443 (https)
- 145 scans sur le port 8080 (httpproxy)
- 84 scans sur le port 25 (smtp)
- 82 scans sur le port 1434 (mssqlm)
- 45 scans sur le port 6588 ()
- 37 scans sur le port 4480 ()
- 35 scans sur le port 111 (rpc)
- 28 scans sur le port 161 (snmp)
- 27 scans sur le port 57 (privterm)
- 25 scans sur le port 22 (ssh)
- 24 scans sur le port 6112 (dtspc)
- 24 scans sur le port 38293 (norton-av)
- 18 scans sur le port 1214 (kazaa)
- 15 scans sur le port 23 (telnet)
- 14 scans sur le port 4662 (eDonKey)
- 12 scans sur le port 500 (isakmp)
- 12 scans sur le port 27374 (SubSeven)
- 11 scans sur le port 53 (domain)
- 11 scans de type multiple
- 10 scans sur le port 3389 (msrdp)
- 8 scans sur le port 12345 (netbus)
- 7 scans sur le port 8081 (wwwoffle)
- 6 scans sur le port 31337 (backorifice)
- 6 scans sur le port 8083 (proxy)
- 5 scans sur le port 123 (ntp)
- 5 scans sur le port 2525 (ms-v-worlds)
Vulnerabilite ptrace dans le noyau Linux
---------------------------------------
Le composant ptrace des noyau Linux 2.2.x et 2.4.x souffre
d'un probleme de securite assez ennuyeux et qui pourrait
permettre a un attaquant disposant d'un acces non privilegie
a un systeme vulnerable, d'en prendre le controle.
Quelques correctifs editeurs ont ete publies, ainsi qu'un
noyau 2.2.25 pour parer a ce probleme. En ce qui concerne
les noyaux 2.4, un noyau 2.4.21 est en cours de developpement
et devrait etre publie sous peu. Une version preliminaire
2.4.21pre6 est disponible sur www.kernel.org.
References et avis
-----------------
"The Linux Kernel Archives"
http://www.kernel.org/
"Ptrace hole / Linux 2.2.25"
http://www.uwsg.iu.edu/hypermail/linux/kernel/0303.2/0226.html
RedHat:
"New kernel 2.2 packages fix vulnerabilities"
https://rhn.redhat.com/errata/RHSA-2003-088.html
"Updated 2.4 kernel fixes vulnerability"
https://rhn.redhat.com/errata/RHSA-2003-098.html
Debian (architecture MIPS):
http://www.debian.org/security/2003/dsa-270
SuSE:
http://www.suse.com/de/security/2003_21_kernel.html
Trustix
http://www.trustix.net/errata/misc/2003/TSL-2003-0007-kernel.asc.txt
En Guarde:
http://www.linuxsecurity.com/advisories/engarde_advisory-2976.html
Pour ce qui concerne les autres editeurs, consultez les sites
web correspondants.
Vulnerabilites Windows 2000
--------------------------
Microsoft Windows 2000 implemente WebDav, une extension
du protocole HTTP permettant une meilleure prise en compte
de l'edition et la gestion de fichiers entre ordinateurs
sur l'Internet. Cette fonctionnalite est utilisable au
moyen de requetes effectuees a un serveur IIS. IIS 5.0
est la version du serveur web IIS incorporee de base par
Microsoft dans le systeme Windows 2000.
Pour le traitement de certaines requetes, WebDav utilise
ntdll.dll, une dll partie integrante du systeme Windows
2000. Cette dll renferme une vulnerabilite de type
"debordement de tampon memoire". Un attaquant distant
pourrait exploiter cette vulnerabilite, au moyen de
requetes specialement formatees, pour executer des
commandes de son choix sur des serveurs vulnerables.
IIS et WebDav ne constituent *qu'un vecteur particulier*
d'attaques. La vulnerabilite etant nichee au coeur du
systeme Windows 2000, est susceptible d'etre exploitee
par le biais d'autres programmes.
En clair, cela signifie que meme sans serveur IIS actif,
un systeme Windows non mis a jour reste vulnerable a de
futures attaques.
Actuellement plusieurs programmes permettant d'exploiter
cette vulnerabilite, plus ou moins efficaces, ont ete
publies (et la recherche continue).
N'oublions pas que nombre de vers ont deja ete concus
pour ce type de configuration (systeme Windows muni de
composants standards).
Une mise a jour rapide des systemes Windows 2000 est
fortement recommandee.
"Security Update for Microsoft Windows 2000"
http://www.microsoft.com/security/security_bulletins/ms03-007.asp
"CERT� Advisory CA-2003-09 Buffer Overflow in Core Microsoft
Windows DLL"
http://www.cert.org/advisories/CA-2003-09.html
Nous avons teste avec succes une attaque contre un serveur IIS
tournant sur un Windows 2000 Professionnel muni du Service Pack 2.
La menace est donc reelle et susceptible de toucher les versions
regionales de Windows.
Vers/Virus Internet
------------------
Toujours une tres forte activite dans ce domaine. On peut
toujours constater beaucoup d'attaques sur les ports 445/TCP
et les ports 137 a 139 associes aux protocoles SMB et Netbios
permettant le partages de ressources sur les systemes Windows.
Il est tres fortement recommande de les filtrer en entree et
en sortie de votre perimetre.
Reference:
"CERT� Advisory CA-2003-08 Increased Activity Targeting Windows
Shares"
http://www.cert.org/advisories/CA-2003-08.html
Statistiques virales
-------------------
Voici un exemple de statistiques virales provenant d'une
passerelle anti-virale universitaire:
Periode du 14/03/2003 au 20/03/2003
==================================
Sur cette p�riode, 267 virus sur 302528 mails ont �t� intercept�s :
123 WORM_KLEZ.H
33 WORM_KLEZ.E
19 PE_Magistr.B
18 WORM_YAHA.G
12 WORM_GIBE.B
12 WORM_LIRVA.A
8 WORM_HYBRIS.D
7 WORM_BUGBEAR.A
6 WORM_YAHA.P
4 PE_Magistr.A
4 W97M_MARKER
4 WORM_YAHA.K
3 PE_GANDA.A-O
2 VBS_REDLOF.A-1
2 W97M_THUS
2 WORM_HIGUY.A
2 WORM_HYBRIS.B
1 EMail_Flaw_MIME_Tag_Overflow
1 JOKE_RUSS.A
1 JOKE_STUPID.C
1 PE_WEIRD,PE_Magistr.A
1 VBS_Tam.a
1 W97M_A_OPEY
************************
--
Jean-Marc Sac-Ep�e, Ing�nieur de Recherches,
Laboratoire de Math�matiques, Universit� de Metz,
T�l 03 87 54 72 69 Fax 03 87 31 52 73
mail [EMAIL PROTECTED]
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";
