Avis du CERT RENATER

Par défaut, cette page vous affichera les derniers messages envoyés par le CERT RENATER à la communauté. Vous pouvez affiner par année ou par type de message. Si aucun critère n'est précisé, seuls les derniers messages sont affichés
Date : Fri, 12 Sep 2014 19:33:07 +0200
Type : STAT
Sujet : CERT-Renater : 2014/STAT37
=========================================================
         Bulletin hebdomadaire du CERT RENATER

===========================================================


Bonjour,


Durant la semaine du 05/09/14 au 11/09/14, 4 cas de
compromissions avérés ont été portés à notre attention.
Au total,  707278 adresses IP ont été scannées par 10587 sources
distinctes.


Table des matières des sujets abordés :

* Compromissions et attaques de la semaine
* Mises à jour Microsoft
* Failles de sécurité du lecteur Flash d'Adobe
* Failles de sécurité dans des applications PHP/CGI
* Liste des scans
* Infection par les Vers, Virus, Chevaux de Troie et autres.



Compromissions et attaques de la semaine
---------------------------------------

Cette semaine 4 cas avérés de compromission de serveurs ont été
signalés. Il s'agit exclusivement d'attaques contre des serveurs Web
(défigurations et hameconnage).

Nous avons aussi, dans la journée traité plusieurs attaques de
serveurs web (défigurations) rendues possibles par la présence
d'une faille de sécurité découverte très récemment dans l'extension
jDownloads pour Joomla!.

La vulnérabilité permet de téléverser sans autorisation des fichiers
frauduleux dans l'arborescence du serveur Web. L'URL pour y
accéder est ensuite du type :
[www.site.fr]/images/jdownloads/screenshots/[fichiers]

Cette faille est en ce moment activement exploitée et de nombreux sites
Web ont déjà été compromis par ce biais. Dans plusieurs cas, en plus de
l'ajout de page web les intrus ont déposé sur les serveurs des
programmes parasites pouvant être utilisés pour infecter les ordinateurs
d'internautes avec divers programmes malveillants.

La mise à jour du 10 septembre 2014 du module jDownloads est
indispensable pour corriger ce probléme :

jDownloads for Joomla 1.5 or 2.5 or 3.2 :
http://www.jdownloads.com/index.php

http://www.jdownloads.com/forum/index.php?action=PRINTpage%3Btopics04.0#3508981632810994629


6 cas d'envoi de courriers électroniques non sollicités (spam),
nous ont aussi été remontés. Ces envois étaient la conséquence
d'attaques de type phishing sur les comptes de messagerie
d'utilisateurs de la communauté.



Mises à jour Microsoft
---------------------

Microsoft a publié cette semaine des correctifs de sécurité
permettant de se protéger d'attaques potentielles de failles
de sécurité identifiées dans :
- Le navigateur Web Internet Explorer,
- le planificateur de tâches de Windows (Windows 8, 8.1,
Serveur 2012, RT et RT 8.1),
- le framework de développement .Net,
- le serveur Lync

Au niveau des impacts :

Le niveau critique a été attribué au bulletin de sécurité
concernant Internet Explorer. Des problèmes identifiés dans
ce logiciel peuvent en effet être potentiellement utilisés
par un attaquant pour prendre le contrôle à distance d'un
ordinateur vulnérable. Un logiciel permettant d'exploiter
au moins un de ces problèmes a en outre été rendu public.

La vulnérabilité identifiée dans le planificateur de tâches
de Windows pourrait être utilisée par un utilisateur
légitime et peu privilégié d'un système, ou par un attaquant
ayant connaissance de ses codes d'accès, pour obtenir un
niveau de privilèges plus important sur le système.

Les deux autres logiciels sont affectés de problème pouvant
être utilisés pour perturber leur bon fonctionnement et
provoquer un déni de service.

Il est recommandé de consulter les informations mises à
disposition par l'éditeur, et de mettre en œuvre les
mesures adéquates permettant de se prémunir d'attaques
éventuelles.

Pour en savoir plus :
https://technet.microsoft.com/fr-FR/library/security/ms14-sep.aspx
http://blogs.technet.com/b/msrc/archive/2014/09/09/the-september-2014-security-updates.aspx
https://isc.sans.edu/forums/diary/Microsoft+Patch+Tuesday+-+September+2014/18627



Failles de sécurité du lecteur Flash d'Adobe
-------------------------------------------

Ce mois ci Adobe annonce avoir corrigé une douzaine de failles
de sécurité dans son lecteur multimédia Flash. Les vulnérabilités
en question pourraient potentiellement être utilisées par un
attaquant pour prendre, à distance, le contrôle d'un ordinateur
sur lequel serait utilisée une version vulnérable du lecteur
Flash.

Il est recommande de mettre à jour le lecteur Flash en version
- 15.0.0.152 pour Windows et Mac OS X,
- 11.2.202.406 pour Linux,
- 13.0.0.244 si on utilise Adobe Flash Player Extended Support Release.

Google Chrome et Internet Explorer (versions 10 et 11) seraient
automatiquement mis à jour en version corrigée,
La version de Adobe AIR corrigée est 15.0.0.249 (15.0.0.252 pour
Android).

Pour en savoir plus :
http://helpx.adobe.com/security/products/flash-player/apsb14-21.html



Failles de sécurité dans des applications PHP/CGI
-------------------------------------------------

Extensions pour Wordpress

Une faille de sécurité de l'extension logicielle "Slider Revolution"
serait activement exploitée par des attaquants pour leurs attaques.
La vulnérabilité pourrait être utilisée pour déposer sans autorisation
ou contrôle des fichiers de son choix sur un serveur vulnérable.
Ceci peut amener à la compromission de sites Web utilisant "Slider
Revolution".
La faille de sécurité aurait été corrigée dans la version 4.2 de
"Slider Revolution".
"Slider Revolution" est aussi embarqué dans un grand nombre de Thèmes.
Il peut donc être présent sur un serveur sans que son gestionnaire
en soit conscient. La page Web suivante propose une liste de Thèmes
dans lesquels "Slider Revolution" aurait été intégré:
http://marketblog.envato.com/general/affected-themes/

Pour en savoir plus:
http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

Une faille de sécurité avec un impact simulaire a aussi été découverte
dans "Tribulant Slideshow Gallery". La version 1.4.7 corrige le
problème :
https://wordpress.org/plugins/slideshow-gallery/changelog/


Extensions pour DRUPAL

Des failles de sécurité ont été annoncées et corrigées dans 4
extensions logicielles de la plateforme Web DRUPAL:
Avatar Uploader (versions 6.x, 7.x), Drupal Commerce (versions 7.x),
Ubercart (versions 7.x) et Custom Breadcrumbs (versions 6.x, 7.x).

Les trois premiers logiciels sont affectés de vulnérabilités pouvant
permettre à un attaquant d'accéder sans autorisation à des
informationshttps://www.drupal.org/node/2336259

protégées sur le service Web, le dernier, d'une vulnérabilité de type
Cross-Site Scripting pouvant être utilisée pour mener des attaques
sur des Internautes.

Il est recommandé de passer aux versions corrigées de ces logiciels.

Pour en savoir plus:
https://www.drupal.org/node/2332169
https://www.drupal.org/node/2336357
https://www.drupal.org/node/2336259
https://www.drupal.org/node/2336263


Extensions pour TYP03

Des failles de sécurité ont été annoncées et corrigées dans
diverses extensions logicielles de la plateforme Web TYP03:
cwt_feedit, eu_ldap, flatmgr, jh_opengraphprotocol, ke_dompdf,
lumophpinclude, news_pack, sb_akronymmanager, st_address_ma,
weeaar_googlesitemap et wt_directory.
Les impacts sont variés. Ils vont de la possibilité pour un
attaquant de provoquer l'exécution à distance d'actions
de son choix sur un serveur vulnérable à l'accès non autorisé
à des données protégées.

Il est recommandé de consulter le bulletin de sécurité publié
par l'éditeur pour connaitre la solution proposée pour chacune
de ces extensions logicielles et obtenir plus de détails sur les
vulnérabilités découvertes.

Pour en savoir plus:
http://typo3.org/support/teamssecuritysecurity-bulletins/security-bulletins-single-view/article/several-vulnerabilities-in-third-party-extensions-4/


VirtueMart

Cette extension logicielle de la plateforme Web Joomla! serait
affectée par une faille de sécurité assez sérieuse car pouvant
être utilisée par une personne malintentionnée pour prendre le
contrôle d'une plateforme Web vulnérable. Les versions 2.6.10
et 2.9.9b du produit corrigeraient le problème.

Pour en savoir plus:
http://virtuemart.net/news/latest-news




Liste des scans
---------------

Total destinations: 707278
Total sources (distinctes): 10587
Port	Protocole	Sources		Destinations
23	tcp	8304	78.44%	117424	16.60%
22	tcp	412	3.89%	45311	6.41%
443	tcp	326	3.08%	42469	6.00%
53	udp	54	0.51%	39314	5.56%
1433	tcp	130	1.23%	38761	5.48%
80	tcp	304	2.87%	37833	5.35%
5060	udp	120	1.13%	30573	4.32%
25	tcp	139	1.31%	22218	3.14%
161	udp	29	0.27%	21878	3.09%
137	udp	112	1.06%	19167	2.71%
21	tcp	32	0.30%	18563	2.62%
8080	tcp	240	2.27%	18440	2.61%
1900	udp	77	0.73%	16821	2.38%
3306	tcp	51	0.48%	14741	2.08%
19	udp	35	0.33%	12292	1.74%
53	tcp	16	0.15%	10521	1.49%
123	udp	54	0.51%	10310	1.46%
0	icmp	97	0.92%	9302	1.32%
53413	udp	48	0.45%	8861	1.25%
21320	tcp	164	1.55%	8556	1.21%
110	tcp	30	0.28%	6438	0.91%
5223	tcp	2	0.02%	6275	0.89%
445	tcp	144	1.36%	5501	0.78%
49152	tcp	38	0.36%	5377	0.76%
3389	tcp	44	0.42%	5091	0.72%
3128	tcp	172	1.62%	4449	0.63%
143	tcp	30	0.28%	4181	0.59%
623	udp	42	0.40%	3991	0.56%
1080	tcp	204	1.93%	3526	0.50%
17	udp	16	0.15%	2907	0.41%




Vers, Virus, Chevaux de Troie
-----------------------------

Cette semaine, 309 machines infectées par divers vers ou virus ont
été signalées dans la communauté. Parmi ces codes malveillants on
trouve:

171 adresses IP uniques d'ordinateurs infectés par le ver W32/Conficker
mises au jour cette semaine.

Afin de faciliter la détection des postes infectés, plusieurs liens
permettant de tester en ligne les ordinateurs ont été mis en
place. L'utilisation de scanner pour la détection de poste infecté
est aussi possible.

Sites de référence :
http://www.confickerworkinggroup.org/wiki/
http://www.dshield.org/conficker


84 ordinateurs infectés par la famille de Cheval de Troie Internet
ZeuS ont aussi été mis au jour cette semaine. Ce cheval de Troie a
pour objectif de dérober les identifiants, notamment bancaires de ses
victimes. Différentes versions de ce cheval de Troie sont toujours en
circulation.

Détails et analyse:
http://www.secureworks.com/research/threats/zeus/

35 ordinateurs infectés par le cheval de Troie Trojan.ZeroAccess,
aussi appelé Rootkit.ZeroAccess ont été découverts.
Une fois infectés les ordinateurs sont intégrés à un vaste réseau
de Botnet qui utilise des fonctionnalités de communications chiffrées
de type "Pair à Pair".

Détails et analyse:
http://www.symantec.com/connect/blogs/grappling-zeroaccess-botnet

11 ordinateurs infectés par des variantes du cheval de Troie Gozi ont
été détecté. Ce cheval de Troie est ancien, mais semble toujours être actif.

Détails et analyses:
Gozi is back – and worse than ever
http://www.infosecurity-magazine.com/view/31916/gozi-is-back-and-worse-than-ever
Gozi Trojan
http://www.secureworks.com/cyber-threat-intelligence/threats/gozi/


14 ordinateurs infectés par une variante du ver P2P-Worm:W32/Palevo
ont été détecté.

Détails et analyses:
http://www.threatexpert.com/reports.aspx?find=Palevo
https://palevotracker.abuse.ch/


10 ordinateurs infectés par le cheval de Troie Trojan.Ramdo ont
été détecté.

http://www.symantec.com/security_response/writeup.jsp?docid 14-021912-3653-99&tabid=2



Cordialement,

=========================================================
+ CERT-RENATER         | tel : 01-53-94-20-44           +
+ 23/25 Rue Daviel     | fax : 01-53-94-20-41           +
+ 75013 Paris          | email:cert@support.renater.fr  +
=========================================================

[An attachment of type application/pkcs7-signature was included here]