CERT Summary
Date : 12 Juillet 2005
Le CERT/CC, dans son 4ème CERT Summary de l'année, a fait un bilan des tendances concernant les attaques qui lui ont été rapportées depuis son dernier bilan fin août. Vous trouverez ci-après une adaptation de ce dernier bilan.
Le premier point concerne une continuité dans les attaques impliquant le service rpc.statd (CERT-IST/AV-2000.165). Ces attaques permettent à un utilisateur malicieux d'acquérir les privilèges root sur un système Linux distant, et ceci sans compte sur ce dernier. Nous vous rappelons l'alerte CERT-IST/AL-2000.007 émise par le CERT-IST sur le sujet. De même, d'innombrables scans sur cette vulnérabilité suivis par l'utilisation d'outils automatiques pour l'exploiter ont été constatés dans la communauté du CERT/CC.
Le deuxième point concerne également un nombre toujours important de compromissions par une vulnérabilité des serveurs ftp (CERT-IST/AV-2000.149). Elle permet à un utilisateur possédant un accès anonyme de faire exécuter du code avec les privilèges root sur le serveur.
Le point suivant concerne l'exploitation d'une vulnérabilité du démon telnet sous les systèmes IRIX (CERT-IST/AV-2000.186). Cette vulnérabilité permet à un utilisateur distant, sans compte utilisateur, d'accéder au système. Nous vous rappelons l'information intéressante CERT-IST/IF-2000.010a émise par le CERT-IST sur le sujet.
Le quatrième point concerne une propagation conséquente des vers LoveLetter.AS et QAZ. Le ver LoveLetter.AS est une variante du fameux ver LoveLetter (CERT-IST/AV-2000.090a). Quant à QAZ, c'est un ver se propageant à travers les partages réseaux d'une infrastructure Microsoft (CERT-IST/AV-2000.203). Il est à noter que ce dernier peut être à l'origine de nombreux scan sur le port TCP 139 (NetBIOS Session). Nous vous rappelons également que le CERT-IST essaye de mettre en place une structure au niveau des différentes partenaires afin d'évaluer la présence de telle menace au niveau de la communauté IST.
Enfin, le dernier point rappelle les dangers induits par la vulnérabilité (déni de service) sur les serveurs de noms (DNS) ISC BIND (CERT-IST/AV-2000.279a). Bien que le CERT/CC n'ait reçu à ce jour aucun rapport sur l'exploitation de ce problème, il recommande cependant de le prendre sérieusement en considération.
Le CERT Summary est disponible à l'adresse suivante : http://www.cert.org/summaries/CS-2000-04.html