Actu
CERT-XMCO : Avis d’expert : semaine du 29 novembre au 5 décembre
décembre 2010 par CERT-XMCO
– Date : 06 Decembre 2010
– Gravité : Moyenne
– Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
À la suite de la compromission le week-end dernier des serveurs du projet ProFTPd, une porte dérobée a été ajoutée dans le code de la version 1.3.3c [1].
Le CERT-XMCO recommande à tous utilisateurs utilisant une version téléchargée entre le 28 novembre et le 2 décembre de réinstaller une version saine.
* Résumé des évènements majeurs :
– Correctifs :
VMware a publié plusieurs [2] correctifs [3] pour l’ensemble de ses logiciels. Les vulnérabilités permettaient d’obtenir des privilèges élevés sur un système ou de provoquer un déni de service.
– Exploits :
Deux [4] exploits [5] pour Apache Axis2 (notamment installé avec SAP BusinessObjects Enterprise XI 3.2) ont été diffusés. Ces derniers permettent d’utiliser des comptes par défaut afin de s’authentifier sur le serveur, d’ajouter puis d’exécuter une archive JAR permettant de prendre le contrôle du système ciblé.
Metasploit a enrichi sa collection d’exploits en ajoutant l’exploitation de la porte dérobée ajoutée au sein de ProFTPd [6].
– Cybercriminalité / Attaques :
Quelques mois après la première version du célèbre "ransomware" GpCode, des pirates ont renforcé le mécanisme de chiffrement utilisé pour chiffrer les documents des victimes [7]. Aucune solution n’a encore été publiée afin de contrer ce virus et de pouvoir récupérer les données.
Une attaque plutôt surprenante a été menée le dimanche 28 novembre sur les serveurs de ProFTPd. Des pirates auraient exploité une faille 0day sur le logiciel ProFTPd afin de prendre le contrôle des serveurs du projet puis de remplacer les sources de la version 1.3.3c par une version modifiée [1]. Le code ajouté par les pirates permettrait d’accéder à un système sur lequel est installé ProFTPd avec l’utilisateur "root". La simple commande FTP "HELP ACIDBITCHEZ" permettait à un pirate de prendre le contrôle du serveur. Toutes les versions téléchargées entre le 28 novembre et le 2 décembre seraient concernées. Des versions saines ont de nouveau été mises en place sur le serveur, mais la vulnérabilité 0day n’est toujours pas corrigée à l’heure actuelle.
– International :
Après avoir diffusé plus de 250 000 documents confidentiels, le site WikiLeaks a subi de nombreuses attaques de déni de service [8].
– XMCO :
Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :
http://www.xmcopartners.com/stage-fr.html
L’application iCERT-XMCO pour iPad est disponible sur l’AppStore d’Apple :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
– Référence :
[2] http://lists.vmware.com/pipermail/security-announce/2010/000111.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3081
[3] http://lists.vmware.com/pipermail/security-announce/2010/000112.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4295
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4296
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4297
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4294
http://www.rapid7.com/security-center/advisories/R7-0037.jsp
https://service.sap.com/sap/support/notes/1432881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0219
http://www.rapid7.com/security-center/advisories/R7-0037.jsp
https://service.sap.com/sap/support/notes/1432881
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-0219
http://www.exploit-db.com/exploits/15662/
[7] http://www.kaspersky.com/news?id=207575539
[8] http://hackingexpose.blogspot.com/2010/11/wikileaks-suffers-ddos-attack.html
– Lien extranet XMCO Partners :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2010-1698
