Bilan trimestriel du CERT-CC
Date : 11 Juillet 2005
La deuxième publication , par le CERT-CC de son bilan trimestriel (disponible à http://www.cert.org/summaries/) fait apparaître, comme indiqué dans l'éditorial, que ce mois de mai a été marqué par l'utilisation des failles suivantes :
- Le ver sadmind/IIS pour lequel plus de 500 machines SOLARIS ont été compromises et plus de 6000 serveurs IIS ont été altérés ; selon le CERT-CC ; comme ce ver exploite des vulnérabilités existantes (sadmind : CERT-IST/AV-1999.275 – IIS : CERT-IST/AV-2000.257) il n'a pas fait l'objet d'un avis particulier,
- Autres vulnérabilités IIS : plusieurs autres vulnérabilités de IIS on été aussi exploitées durant les derniers 3 mois :
- La première (cf. avis CERT-IST/AV-2001.129) permet à des "intrus" d'exécuter des commandes à distance sur le serveur,
- La deuxième (cf. avis CERT-IST/AV-2001.118) concerne un débordement de pile qui permet d'exécuter du code arbitraire sur le serveur, et pour lequel un "exploit" a été diffusé publiquement
- La vulnérabilité snmpXdmid (cf. CERT-IST/AV-2001.088 du 14 mars2001) qui permet de passer root sous Solaris est exploitée de façon récurrente selon les douzaines de rapports reçus par le CERT-CC
- La vulnérabilité bind (cf. avis CERT-IST/AV-2001.025 du 24 avril) est toujours exploitée activement pour compromettre les systèmes,
De plus un nouveau ver, le ver "cheese" a fait apparaître une recrudescence des scans, en particulier sur le port 10008. On notera aussi que l'activité de scan a augmenté considérablement, et que ce n'est pas seulement dû aux vers Sysadmin/IIS ou cheese déjà mentionnés. Dans ce dernier cas, comme dans les cas précédents, les recommandations du CERT-CC sont les mêmes que celles que le Cert-IST rappelle dans ses avis, et se permet de rappeler encore : appliquer les correctifs de sécurité dès leur parution, désactiver les services réseaux non indispensables, contrôlez les flux entrants et sortants au niveau de vos garde-barrières ou routeurs d'"entrée" et surveillez vos journaux. Le 2ème bilan 2001 se termine par les vulnérabilités en discussion depuis un certain temps déjà, et relatives au caractère prédictif des numéros de séquence IP, dont le Cert-IST vous entretient aussi dans son dernier avis (cf. CERT-IST/AV-2001.133 du 23 mai).
Enfin, le CERT-CC, dans ce bilan, mentionne la FAQ (Frequently Asked Questions) qui a été créée après l'annonce de l'opération de commercialisation des avis qui sera réalisée dans un cadre de coopération avec l'Internet Security Alliance et qui a fait couler pas mal d'encre, pas seulement dans les "journaux électroniques" et autres forums de discussions.
Ce type d'annonce conforte le Cert-IST dans son effort de promotion de la coopération inter-CERTs au niveau de l'Europe, où le réservoir d'expertise est considérable, mais demande à être organisé.