Publié le 06-04-2009 à 13:43:25 dans le thème Réseau - Sécurité

Pays : France - Auteur : La rédaction

Pub : Logiciels de sécurité et de protection Internet

La semaine dernière, le CERT Renaer a détecté deux cas de compromissions. Au total, 99 818 adresses IP ont été scannées par 898 sources distinctes.

Cette semaine 2 attaques de deni de service lancées depuis des machines infectées ou compromises appartenant à la communauté (Universités, ...) surveillée par le CERT Renater ont été détectées. L'analyse de ces deux machines a montré le présence de divers Trojan "IRC/Flood.mirc" et "Win32:AutoRun-ATQ" qui se sont propagés par l'intermédiaire de fichier présents sur des clés USB infectées.

Deux compromissions de sites webs ont été signalés. Dans un cas les intrus ont utilisé le site pour y ajouter des scripts à propos de jeux d'argent en ligne. Il semble que l'attaque ait eu pour origine des requêtes POST sur le script /blog/wp-admin/theme-editor.php du site.

Cette semaine 9 cas d'ajouts de contenus inappropriés (de type jeu de poker et de casino en ligne) ont été détectés. Ces incidents sont symptomatiques d'un problème de mise a jour du CMS associé au site web permettant à des intrus l'ajout de scripts php utilisés pour générer ce type de pages. Deux de ces incidents ont concerné le CMS SPIP.

Un autre incident a concerné la détection de code javascript malicieux sur la presque totalité des pages web d'un site web. Ces scripts ont été ajoutés par divers intrus via le compte FTP de ce serveur. Ce script malicieux a été détecté par une dizaine d'antivirus comme étant: Heuristic.Script.Crypted (McAfee), Mal/Iframe-F(Sophos), ...

De nombreuses machines infectées par les malwares Conficker, IRCBot.worm, Trojan MSN ont été détectées cette semaine. Un cas d'attaque sur des serveurs SSH au niveau de comptes avec un mot de passe faible a aussi été détecté.

Infection par le ver W32/Conficker
Cette semaine environ 100 nouvelles machines infectées par le ver W32/Conficker ont été détectées sur plusieurs sites. Afin de faciliter la détection des postes infectés, deux liens permettant de tester directement les postes en ligne ont été mis en place. Il suffit de cliquer sur ces liens à partir de n'importe quel poste pour vérifier si le poste est infectés ou non. (Ces liens peuvent être diffusé à l'ensemble des utilisateurs)

Conficker Eye Chart:
http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

Conficker Online Infection Indicator:
http://iv.cs.uni-bonn.de/fileadmin/user_upload/werner/cfdetector/

L'utilisation de scanner pour la détection est aussi possible:
http://isc.sans.org/diary.html?storyid=6097

Prudence tout de même car de nombreux faux outils de détection et de faux sites proposant l'éradication du ver ont aussi fait leur apparition. Il ne faut utiliser que les sites de référence.
Failles de sécurité dans des applications PHP/CGI

My Simple Forum
Deux failles de sécurité pouvant être utilisées pour contourner certaines des restrictions de sécurité activées sur la plate-forme ou mener des actions de type "cross-site scripting" sur les navigateurs de ses utilisateurs auraient été identifiées. Les problèmes mis au jour concerneraient des défauts d'assainissements de données utilisateurs avant leur utilisation dans le système.
http://secunia.com/advisories/34515/2/

Moodle
Une faille de sécurité pouvant être exploitée par une personne mal-intentionnée pour accéder frauduleusement a des données sensibles de la plate-forme aurait été mise au jour dans le code. Le problème surviendrait au niveau de la gestion des entrées utilisateurs avant leur exploitation par la commande TeX. Les versions 1.9.4 et antérieures seraient vulnérables. Ce problème serait corrige et dans les paquetages 1.9.4+ et 1.8.8+

Référence:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1171
http://secunia.com/advisories/34517/

XOOPS Cube Legacy
Des failles de sécurité permettant de mener des attaques de type "cross-site scripting" sur les utilisateurs de cette plate-forme. L'éditeur a publie un correctif permettant de s'en protéger. Il est recommande de passer a la version 2.1.6a.

Référence:
http://xoopscube.org/xigg/121

Joomla!
Plusieurs failles permettant de mener des attaques de type cross-site scripting et cross-site request forgery par le biais de cette plate-forme ont été identifiées et corrigées. Les versions 1.5 jusqu'à la 1.5.9 sont impactées. Il est recommande de passer des que possible a la version 1.5.10.

Référence:
http://developer.joomla.org/security/news/294-20090302-core-comcontent-xss.html
http://developer.joomla.org/security/...3-20090301-core-multiple-xsscsrf.html

Bugzilla
Une faille de sécurité pouvant être utilisée pour mener des attaques de type "cross-site request forgery" a été identifiée et corrigée au niveau de la fonctionnalité "Attachment editing" de cette application. Toutes les versions antérieures a la 3.2.3 et 3.3.4 sont vulnérables. Les problèmes sont corriges dans la version 3.2.3 et 3.3.4.

Référence:
http://www.bugzilla.org/security/3.2.2/

Liste des Scans
03/27/09 01:00:00 - 04/03/09 02:00:00
Total destinations: 99818
Total sources (distinctes): 898

Port Protocole Sources Destinations
1434 udp 118 13.14% 57861 57.97%
0 icmp 118 13.14% 7900 7.91%
445 tcp 267 29.73% 6732 6.74%
1433 tcp 35 3.90% 5474 5.48%
2967 tcp 16 1.78% 4090 4.10%
135 tcp 44 4.90% 3958 3.97%
139 tcp 47 5.23% 2736 2.74%
22 tcp 29 3.23% 2313 2.32%
137 udp 155 17.26% 1700 1.70%
23 tcp 35 3.90% 1374 1.38%
80 tcp 9 1.00% 1089 1.09%
1026 udp 3 0.33% 658 0.66%
53 tcp 3 0.33% 555 0.56%
21 tcp 6 0.67% 473 0.47%
4899 tcp 10 1.11% 416 0.42%
5900 tcp 4 0.45% 366 0.37%
1080 tcp 1 0.11% 235 0.24%
36789 tcp 1 0.11% 220 0.22%
24333 tcp 1 0.11% 220 0.22%
7878 tcp 1 0.11% 219 0.22%
1027 udp 1 0.11% 196 0.20%
32000 tcp 1 0.11% 123 0.12%
8443 tcp 2 0.22% 109 0.11%
3306 tcp 1 0.11% 104 0.10%
3050 tcp 1 0.11% 97 0.10%
25 tcp 3 0.33% 85 0.09%
3072 tcp 7 0.78% 82 0.08%
135 udp 4 0.45% 70 0.07%
8080 tcp 3 0.33% 67 0.07%
123 udp 4 0.45% 60 0.06%

L'augmentation des scans sur les ports du partage réseau Netbios semble être du a la propagation du ver W32.conficker.

En activité depuis 1995, le CERT Renater a pour rôle d’assister ses adhérents en matière de sécurité informatique, et notamment dans le domaine de la prévention, de la détection et de la résolution d’incidents de sécurité. Cette structure permet de centraliser et de diffuser de l’information par des canaux sûrs.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu