CERT RENATER
Nous contacter
- Mail : cert@support.renater.fr
- Web : Pages du CERT
- Tél : 01.53.94.20.44
- Fax : 01.53.94.20.31
========================================================= Bulletin hebdomadaire du CERT RENATER =========================================================== Bonjour, Durant la semaine du 05/09/14 au 11/09/14, 4 cas de compromissions avérés ont été portés à notre attention. Au total, 707278 adresses IP ont été scannées par 10587 sources distinctes. Table des matières des sujets abordés : * Compromissions et attaques de la semaine * Mises à jour Microsoft * Failles de sécurité du lecteur Flash d'Adobe * Failles de sécurité dans des applications PHP/CGI * Liste des scans * Infection par les Vers, Virus, Chevaux de Troie et autres. Compromissions et attaques de la semaine --------------------------------------- Cette semaine 4 cas avérés de compromission de serveurs ont été signalés. Il s'agit exclusivement d'attaques contre des serveurs Web (défigurations et hameconnage). Nous avons aussi, dans la journée traité plusieurs attaques de serveurs web (défigurations) rendues possibles par la présence d'une faille de sécurité découverte très récemment dans l'extension jDownloads pour Joomla!. La vulnérabilité permet de téléverser sans autorisation des fichiers frauduleux dans l'arborescence du serveur Web. L'URL pour y accéder est ensuite du type : [www.site.fr]/images/jdownloads/screenshots/[fichiers] Cette faille est en ce moment activement exploitée et de nombreux sites Web ont déjà été compromis par ce biais. Dans plusieurs cas, en plus de l'ajout de page web les intrus ont déposé sur les serveurs des programmes parasites pouvant être utilisés pour infecter les ordinateurs d'internautes avec divers programmes malveillants. La mise à jour du 10 septembre 2014 du module jDownloads est indispensable pour corriger ce probléme : jDownloads for Joomla 1.5 or 2.5 or 3.2 : http://www.jdownloads.com/index.php http://www.jdownloads.com/forum/index.php?action=PRINTpage%3Btopics04.0#3508981632810994629 6 cas d'envoi de courriers électroniques non sollicités (spam), nous ont aussi été remontés. Ces envois étaient la conséquence d'attaques de type phishing sur les comptes de messagerie d'utilisateurs de la communauté. Mises à jour Microsoft --------------------- Microsoft a publié cette semaine des correctifs de sécurité permettant de se protéger d'attaques potentielles de failles de sécurité identifiées dans : - Le navigateur Web Internet Explorer, - le planificateur de tâches de Windows (Windows 8, 8.1, Serveur 2012, RT et RT 8.1), - le framework de développement .Net, - le serveur Lync Au niveau des impacts : Le niveau critique a été attribué au bulletin de sécurité concernant Internet Explorer. Des problèmes identifiés dans ce logiciel peuvent en effet être potentiellement utilisés par un attaquant pour prendre le contrôle à distance d'un ordinateur vulnérable. Un logiciel permettant d'exploiter au moins un de ces problèmes a en outre été rendu public. La vulnérabilité identifiée dans le planificateur de tâches de Windows pourrait être utilisée par un utilisateur légitime et peu privilégié d'un système, ou par un attaquant ayant connaissance de ses codes d'accès, pour obtenir un niveau de privilèges plus important sur le système. Les deux autres logiciels sont affectés de problème pouvant être utilisés pour perturber leur bon fonctionnement et provoquer un déni de service. Il est recommandé de consulter les informations mises à disposition par l'éditeur, et de mettre en œuvre les mesures adéquates permettant de se prémunir d'attaques éventuelles. Pour en savoir plus : https://technet.microsoft.com/fr-FR/library/security/ms14-sep.aspx http://blogs.technet.com/b/msrc/archive/2014/09/09/the-september-2014-security-updates.aspx https://isc.sans.edu/forums/diary/Microsoft+Patch+Tuesday+-+September+2014/18627 Failles de sécurité du lecteur Flash d'Adobe ------------------------------------------- Ce mois ci Adobe annonce avoir corrigé une douzaine de failles de sécurité dans son lecteur multimédia Flash. Les vulnérabilités en question pourraient potentiellement être utilisées par un attaquant pour prendre, à distance, le contrôle d'un ordinateur sur lequel serait utilisée une version vulnérable du lecteur Flash. Il est recommande de mettre à jour le lecteur Flash en version - 15.0.0.152 pour Windows et Mac OS X, - 11.2.202.406 pour Linux, - 13.0.0.244 si on utilise Adobe Flash Player Extended Support Release. Google Chrome et Internet Explorer (versions 10 et 11) seraient automatiquement mis à jour en version corrigée, La version de Adobe AIR corrigée est 15.0.0.249 (15.0.0.252 pour Android). Pour en savoir plus : http://helpx.adobe.com/security/products/flash-player/apsb14-21.html Failles de sécurité dans des applications PHP/CGI ------------------------------------------------- Extensions pour Wordpress Une faille de sécurité de l'extension logicielle "Slider Revolution" serait activement exploitée par des attaquants pour leurs attaques. La vulnérabilité pourrait être utilisée pour déposer sans autorisation ou contrôle des fichiers de son choix sur un serveur vulnérable. Ceci peut amener à la compromission de sites Web utilisant "Slider Revolution". La faille de sécurité aurait été corrigée dans la version 4.2 de "Slider Revolution". "Slider Revolution" est aussi embarqué dans un grand nombre de Thèmes. Il peut donc être présent sur un serveur sans que son gestionnaire en soit conscient. La page Web suivante propose une liste de Thèmes dans lesquels "Slider Revolution" aurait été intégré: http://marketblog.envato.com/general/affected-themes/ Pour en savoir plus: http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html Une faille de sécurité avec un impact simulaire a aussi été découverte dans "Tribulant Slideshow Gallery". La version 1.4.7 corrige le problème : https://wordpress.org/plugins/slideshow-gallery/changelog/ Extensions pour DRUPAL Des failles de sécurité ont été annoncées et corrigées dans 4 extensions logicielles de la plateforme Web DRUPAL: Avatar Uploader (versions 6.x, 7.x), Drupal Commerce (versions 7.x), Ubercart (versions 7.x) et Custom Breadcrumbs (versions 6.x, 7.x). Les trois premiers logiciels sont affectés de vulnérabilités pouvant permettre à un attaquant d'accéder sans autorisation à des informationshttps://www.drupal.org/node/2336259 protégées sur le service Web, le dernier, d'une vulnérabilité de type Cross-Site Scripting pouvant être utilisée pour mener des attaques sur des Internautes. Il est recommandé de passer aux versions corrigées de ces logiciels. Pour en savoir plus: https://www.drupal.org/node/2332169 https://www.drupal.org/node/2336357 https://www.drupal.org/node/2336259 https://www.drupal.org/node/2336263 Extensions pour TYP03 Des failles de sécurité ont été annoncées et corrigées dans diverses extensions logicielles de la plateforme Web TYP03: cwt_feedit, eu_ldap, flatmgr, jh_opengraphprotocol, ke_dompdf, lumophpinclude, news_pack, sb_akronymmanager, st_address_ma, weeaar_googlesitemap et wt_directory. Les impacts sont variés. Ils vont de la possibilité pour un attaquant de provoquer l'exécution à distance d'actions de son choix sur un serveur vulnérable à l'accès non autorisé à des données protégées. Il est recommandé de consulter le bulletin de sécurité publié par l'éditeur pour connaitre la solution proposée pour chacune de ces extensions logicielles et obtenir plus de détails sur les vulnérabilités découvertes. Pour en savoir plus: http://typo3.org/support/teamssecuritysecurity-bulletins/security-bulletins-single-view/article/several-vulnerabilities-in-third-party-extensions-4/ VirtueMart Cette extension logicielle de la plateforme Web Joomla! serait affectée par une faille de sécurité assez sérieuse car pouvant être utilisée par une personne malintentionnée pour prendre le contrôle d'une plateforme Web vulnérable. Les versions 2.6.10 et 2.9.9b du produit corrigeraient le problème. Pour en savoir plus: http://virtuemart.net/news/latest-news Liste des scans --------------- Total destinations: 707278 Total sources (distinctes): 10587 Port Protocole Sources Destinations 23 tcp 8304 78.44% 117424 16.60% 22 tcp 412 3.89% 45311 6.41% 443 tcp 326 3.08% 42469 6.00% 53 udp 54 0.51% 39314 5.56% 1433 tcp 130 1.23% 38761 5.48% 80 tcp 304 2.87% 37833 5.35% 5060 udp 120 1.13% 30573 4.32% 25 tcp 139 1.31% 22218 3.14% 161 udp 29 0.27% 21878 3.09% 137 udp 112 1.06% 19167 2.71% 21 tcp 32 0.30% 18563 2.62% 8080 tcp 240 2.27% 18440 2.61% 1900 udp 77 0.73% 16821 2.38% 3306 tcp 51 0.48% 14741 2.08% 19 udp 35 0.33% 12292 1.74% 53 tcp 16 0.15% 10521 1.49% 123 udp 54 0.51% 10310 1.46% 0 icmp 97 0.92% 9302 1.32% 53413 udp 48 0.45% 8861 1.25% 21320 tcp 164 1.55% 8556 1.21% 110 tcp 30 0.28% 6438 0.91% 5223 tcp 2 0.02% 6275 0.89% 445 tcp 144 1.36% 5501 0.78% 49152 tcp 38 0.36% 5377 0.76% 3389 tcp 44 0.42% 5091 0.72% 3128 tcp 172 1.62% 4449 0.63% 143 tcp 30 0.28% 4181 0.59% 623 udp 42 0.40% 3991 0.56% 1080 tcp 204 1.93% 3526 0.50% 17 udp 16 0.15% 2907 0.41% Vers, Virus, Chevaux de Troie ----------------------------- Cette semaine, 309 machines infectées par divers vers ou virus ont été signalées dans la communauté. Parmi ces codes malveillants on trouve: 171 adresses IP uniques d'ordinateurs infectés par le ver W32/Conficker mises au jour cette semaine. Afin de faciliter la détection des postes infectés, plusieurs liens permettant de tester en ligne les ordinateurs ont été mis en place. L'utilisation de scanner pour la détection de poste infecté est aussi possible. Sites de référence : http://www.confickerworkinggroup.org/wiki/ http://www.dshield.org/conficker 84 ordinateurs infectés par la famille de Cheval de Troie Internet ZeuS ont aussi été mis au jour cette semaine. Ce cheval de Troie a pour objectif de dérober les identifiants, notamment bancaires de ses victimes. Différentes versions de ce cheval de Troie sont toujours en circulation. Détails et analyse: http://www.secureworks.com/research/threats/zeus/ 35 ordinateurs infectés par le cheval de Troie Trojan.ZeroAccess, aussi appelé Rootkit.ZeroAccess ont été découverts. Une fois infectés les ordinateurs sont intégrés à un vaste réseau de Botnet qui utilise des fonctionnalités de communications chiffrées de type "Pair à Pair". Détails et analyse: http://www.symantec.com/connect/blogs/grappling-zeroaccess-botnet 11 ordinateurs infectés par des variantes du cheval de Troie Gozi ont été détecté. Ce cheval de Troie est ancien, mais semble toujours être actif. Détails et analyses: Gozi is back – and worse than ever http://www.infosecurity-magazine.com/view/31916/gozi-is-back-and-worse-than-ever Gozi Trojan http://www.secureworks.com/cyber-threat-intelligence/threats/gozi/ 14 ordinateurs infectés par une variante du ver P2P-Worm:W32/Palevo ont été détecté. Détails et analyses: http://www.threatexpert.com/reports.aspx?find=Palevo https://palevotracker.abuse.ch/ 10 ordinateurs infectés par le cheval de Troie Trojan.Ramdo ont été détecté. http://www.symantec.com/security_response/writeup.jsp?docid 14-021912-3653-99&tabid=2 Cordialement, ========================================================= + CERT-RENATER | tel : 01-53-94-20-44 + + 23/25 Rue Daviel | fax : 01-53-94-20-41 + + 75013 Paris | email:cert@support.renater.fr + ========================================================= [An attachment of type application/pkcs7-signature was included here]