Avis d'expert : semaine du 29 nomvembre au 5 décembre 2010

À la suite de la compromission le week-end dernier des serveurs du projet ProFTPd, une porte dérobée a été ajoutée dans le code de la version 1.3.3c. Le CERT-XMCO recommande à tous utilisateurs utilisant une version téléchargée entre le 28 novembre et le 2 décembre de réinstaller une version saine.

* Résumé des évènements majeurs :
Correctifs :
VMware a publié plusieurs correctifs pour l’ensemble de ses logiciels. Les vulnérabilités permettaient d’obtenir des privilèges élevés sur un système ou de provoquer un déni de service.

Exploits :
Deux exploits pour Apache Axis2 (notamment installé avec SAP BusinessObjects Enterprise XI 3.2) ont été diffusés. Ces derniers permettent d’utiliser des comptes par défaut afin de s’authentifier sur le serveur et ajouter puis exécuter une archive JAR permettant de prendre le contrôle du système ciblé.

Metasploit a enrichi sa collection d’exploits en ajoutant l’exploitation d’une porte dérobée ajoutée au sein de ProFTPd.

Cybercriminalité / Attaques :
Quelques mois après la première version du célèbre « ransomware » GpCode, des pirates ont renforcé le mécanisme de chiffrement utilisé pour chiffrer les documents des victimes. Aucune solution n’a encore été publiée afin de contrer ce virus et de pouvoir récupérer les données.

Une attaque plutôt surprenante a été menée le dimanche 28 novembre sur les serveurs de ProFTPd. Des pirates auraient exploité une faille 0day sur le logiciel ProFTPd afin de prendre le contrôle des serveurs du projet puis remplacer les sources de la version 1.3.3c par une version modifiée. Le code ajouté par les pirates permettrait d’accéder à un système sur lequel est installé ProFTPd avec l’utilisateur « root ». La simple commande FTP « HELP ACIDBITCHEZ » permettait à un pirate de prendre le contrôle du serveur. Toutes les versions téléchargées entre le 28 novembre et le 2 décembre seraient concernées. Des versions saines ont de nouveau été mises en place sur le serveur, mais la vulnérabilité 0day n’est toujours pas corrigée à l’heure actuelle.

International :
Après avoir diffusé plus de 250000 documents confidentiels, le site WikiLeaks a subi de nombreuses attaques de déni de service.

XMCO :
Le cabinet XMCO est à la recherche d’un stagiaire pour janvier 2011 :

Rejoindre XMCO

L’application iCERT-XMCO pour iPad est disponible sur l’AppStore d’Apple :
http://itunes.apple.com/fr/app/icert-xmco/id365470210?mt=8&uo=6

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

CERT-XMCO

Découvrir d'autres articles