La chronologie d'un mois fertile en vers (Code Red et Sircam)
Date : 11 Juillet 2005
Au mois de juillet, le Cert-IST a émis 2 alertes (CERT-IST/AL-2001.004 et CERT-IST/AL-2001.005) pour les vers Code Red et Sircam, et une information (CERT-IST/IF-2001.006) sur la propagation du ver Leave. La première alerte a fait l'objet de 3 révisions, ce qui signifie que vous avez reçu 5 messages spécifiques (4 alertes et une information) ce mois-ci. Comme depuis le début de l'année, nous n'avions émis que 3 alertes et 5 informations, nous vous proposons de revenir sur les 15 derniers jours de juillet et d'en tirer quelques leçons.
Le tableau suivant rappelle, par ordre chronologique, les alertes, avis ou informations émises par le Cert-IST pour ces trois événements (Leave, CodeRed et SirCam).
Les réactions du Cert-IST
Date | Référence | Titre de l'avis/alerte/information |
19/06/2001 | /AV-2001.164 | Débordement de pile dans le service "Index Server" sous IIS (création de l'avis) |
27/06/2001 | /AV-2001.164 | Ver Leave sous Windows (création de l'avis) |
11/07/2001 | /AV-2001.164 | Ver Leave sous Windows (révision de l'avis) |
18/07/2001 | /IF-2001.006 | Nouvelle distribution du ver Leave |
18/07/2001 | /AL-2001.004 | Propagation du ver IIS "Code Red" |
18/07/2001 | /AV-2001.164 | Débordement de pile dans le service "Index Server" sous IIS (révision de l'avis) |
19/07/2001 | /AV-2001.186 | Ver SirCam sous Windows (création de l'avis |
20/07/2001 | /AL-2001.004a | Propagation du ver IIS "Code Red" (Version 2)) |
24/07/2001 | /AL-2001.005 | Propagation du ver IIS "SirCam" à grande échelle |
24/07/2001 | /AV-2001.186 | Ver SirCam sous Windows (mise à jour 1.1) |
25/07/2001 | /AL-2001.005 | Propagation du ver IIS "SirCam" à grande échelle (Mise à jour) |
27/07/2001 | /AL-2001.004b | Propagation du ver IIS "Code Red" (Version 3) |
30/07/2001 | /AL-2001.004c | "Code Red" ; Message commun des 3 CERT français (Version 3.1) |
En considérant la date de publication des 3 avis pour (Code red, Leave et Sircam), on s'aperçoit que les avis mentionnant les failles de sécurité pour ces 3 vers ont été publiés respectivement 30 jours, 21 jours et 6 jours avant leur "diffusion massive" qui a donné lieu aux alertes et informations appropriées.
On notera que dans les cas de Leave et de Sircam, la parade consistait à mettre à jour son anti-virus, alors que dans le cas de Code Red, il fallait appliquer un correctif de sécurité sur IIS.
Quelques réactions des éditeurs
Code Red : Le 18 juin 2001, Microsoft émettait un bulletin de sécurité Microsoft MS01-033
Sircam : Les éditeurs d'antivirus ont réagi dans les délais "habituels", ce qui a permis au virus de commencer à se propager, y compris dans la communauté du Cert-IST. On notera que:
- la première version d'Interscan laissait, dans certains cas, "passer" le virus (elle a été corrigée les 26 et 27 juillet)
- la première version de NAI n'interceptait pas des versions corrompues du virus. Un fichier de signatures supplémentaires a été mis à disposition du Cert-IST qui a pu le mettre sur son serveur Web le 25 juillet
Les réactions dans la communauté du Cert-IST
Le Cert-IST a sollicité ses partenaires et clients pour essayer d'apprécier la réalité des dégâts, en particulier pour Code Red et Sircam. Même si la liste des "correspondants Virus du Cert-IST" commence à fonctionner, nous avons eu peu d'informations en retour ; un seul retour pour Code Red et 2 pour Sircam, alors que nous avons trouvé la signature de l'attaque Code Red dans les journaux de notre serveur, et avons remarqué une augmentation des scans sur le port 80, au niveau du Cert-IST.
Nous avons contacté les membres de la communauté IST dont les machines (pour la plupart hébergées par des fournisseurs d'accès) apparaissaient dans les listes de serveurs infectés par Code Red, et avons eu un certain nombre de retours de leur part.
Conclusions
La coordination entre les CERT a progressé lors du mois de juillet. Il nous reste encore à faire des progrès, en particulier en matière de remontée d'incidents au niveau de la communauté IST. En effet les chiffres qui ont été publiés (près de 300000 serveurs infectés lors de la première vague, 4% dans le domaine .fr) n'ont pas pu être vérifiés par manque d'information.
Lorsque nous disposerons d'une réelle remontée d'incidents, l'ensemble de la communauté, à commencer par les partenaires et clients du Cert-IST, pourra bénéficier d'une meilleure qualification de la réalité de la menace, et, en conséquence, prendre les mesures de précautions adaptées à cette réalité.
