Code Red et ses variantes
Date : 11 Juillet 2005
Le début du mois d'août a été marqué, outre par des journées "rouge" sur les routes des vacances, par le déferlement de CodeRed sur Internet. En particulier, dès le 4, le ver CodeRed II (un nouveau ver plus virulent, bâti sur le même modèle que CodeRed) est apparu, supplantant rapidement son aîné sur le net. A titre d'exemple, l'observation des requêtes reçues par le site public du Cert-IST montre que 97% des tentatives d'attaques utilisant la vulnérabilité "Index Server" d'IIS étaient des vers CodeRedII (par opposition aux attaques CodeRed).
Comme vous l'avez sans doute également remarqué sur vos sites, ce ver a été (et reste) très virulent en France. La courbe d'activité que nous avons placée sur le serveur privé du Cert-IST (voir la courbe), montre que sur la période analysée, notre site Web public a fait l'objet de :
- plus de 5700 tentatives d'attaques CodeRed provenant de 1484 sites infectés distincts,
- avec une moyenne de 250 attaques par jour à partir du 4 août (date d'arrivée de CodeRedII),
- dont une large majorité proviennent de machines de type " home users ".
Il est clair que le ver n'est pas à ce jour éradiqué. A défaut d'attendre la mort naturelle du ver (le 1er octobre, le ver CodeRedII s'arrête de lui-même), toute une série de mesures sont aujourd'hui possibles :
- protéger les serveurs IIS en leur appliquant le correctif publié par Microsoft.
- détecter les machines vulnérables ou infectées en utilisant un outil de recherche des serveurs vulnérables (par exemple : http://www.cymru.com/~robt/Tools/coderedscanner-2.5.tar.gz).).
- voire même envisager des contre-mesures vis-à-vis des sites agresseurs (par exemple : ralentir ces sites en acceptant leurs tentatives de connexion mais en ne leur répondant jamais). Bien évidemment, cette dernière catégorie de mesures est bien plus discutable (d'un point de vue éthique).
De façon plus anecdotique, on pourra noter enfin que les utilisateurs français de IIS n'ont pas été aidés par le sort, puisque la version francaise du correctif pour IIS4 n'a pas été disponible sur le site " grand public " de Microsoft avant le 11 août. En effet, du fait d'une erreur typographique dans le nom du fichier à télécharger, un message laconique du type " File not found " apparaissait jusqu'à cette date lorsque l'on essayait de charger la version francaise du correctif pour NT4. Prévenu le 9 de cette anomalie, le Cert-IST a remonté ce problème à Microsoft qui a alors corrigé l'erreur.