Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

Synthèse de l'année de veille 2003

Date :22 Juin 2005

Publication: Article

En ce mois de décembre, le Cert-IST vous propose de revenir sur les évènements qui ont marqué l'année 2003.

Les faits les plus marquants

L'année 2003 a été encore marquée par les vers informatiques. La plupart d'entre eux ont impacté essentiellement le monde Microsoft.

En début d'année, les vers "Lirva/Avril" CERT-IST/AL-2003.001, "Slammer" CERT-IST/AL-2003.002 et "BugBear-B" CERT-IST/AL-2003.004 ont fait l'objet de propagation massive au sein des différentes communautés des CERTs dans le monde.

D'une manière générale, ces vers se propageaient soit par des moyens "conventionnels" (e-mails, partages réseau, IRC, P2P) ou en utilisant des vulnérabilités contenues dans des produits de la suite Microsoft (comme le serveur de base de données MSQL pour le ver "Slammer"). On a pu également noter au travers des différentes infections, une augmentation importante de la vitesse de propagation de ces vers sur Internet (la propagation de "Slammer" a été de l'ordre de quelques minutes pour l'ensemble d'Internet).

Au courant de l'été, deux évènements majeurs ont fait l'objet d'une attention particulière. La vulnérabilité des services RPC de Microsoft (suivi du ver "Blaster" CERT-IST/AL-2003.005a) ainsi que la vulnérabilité des équipements Cisco utilisant l'IOS CERT-IST/AV-2003.225.

Malgré sa sévérité, la vulnérabilité Cisco est passée presque inaperçue (aucune attaque recensée) ; elle n'a semble-t-il interpellé que les opérateurs Internet, qui utilisent en grande quantité ce type d'équipement. Par contre, le ver "Blaster" (ainsi que ses variantes "Nachi" - CERT-IST/AV-2003.261, et à un degré moindre le ver "Sobig-F" - CERT-IST/AV-2003.011) a suscité de vives inquiétudes vite matérialisées par des infections systématiques des systèmes d'information dans le monde entier. Le Cert-IST a réalisé une s ynthèse sur la façon dont le ver "Blaster" avait été géré au niveau de ses membres partenaires. Cette synthèse est présentée sur le site web public du Cert-IST.

Par rapport à ses prédécesseurs, "Blaster" peut être qualifié de novateur au niveau du monde Microsoft, car il touche toutes les plates-formes Microsoft (exceptées les versions 9x/ME) sans distinction particulière. Auparavant, les vers les plus menaçants "CodeRed", "Nimda", "Slammer" utilisaient une vulnérabilité d'un composant "optionnel" du système Windows (IIS, MSQL, …) ; tandis qu'avec "Blaster" toutes les plates-formes Microsoft peuvent être potentiellement infectées dans leur configuration par défaut.

La fin de l'année 2003 s'est révélée un peu plus "calme" avec toujours quelques vers plus ou moins virulents comme "Mimail" (CERT-IST/IF-2003.008).

Il est également important de noter, mais cela peut certainement évoluer au cours du temps, que tous ces vers n'ont pas eu d'action véritablement malveillante (destruction de données, …) à l'égard des systèmes qu'ils infectaient. On ne peut que s'en réjouir car sinon, les dégâts auraient pu être considérables.

Les tendances

Le nombre de vulnérabilités publiées par le Cert-IST par rapport à l'année 2002 est en léger recul, mais reste autour de 400 vulnérabilités par an (392 avis ont été émis cette année par le Cert-IST).

Au niveau des rapports de détection des virus/ver, un ver est apparu de façon récurrente tout le long de l'année 2003 : il s’agit de "Klez" (CERT-IST/AV-2001.289). Bien que relativement ancien (2001), il est encore détecté de façon importante sur Internet, ce qui prouve la difficulté d'éradiquer certains virus/vers.

Toujours dans le domaine des virus, une nouvelle tendance émerge en 2003 : c'est l'association des vers/chevaux de Troie (propriétés de propagation) avec les outils de Spam (utilisés pour des envois massifs d'e-mails). Ainsi, aujourd'hui des vers ou chevaux de Troie, une fois installés sur des postes infectés, sont utilisés comme des relais par les Spammeurs pour polluer Internet d'e-mails non sollicités.

Une autre constante remarquée encore lors de cette année, est la recherche et l'utilisation significative de sites FTP mal configurés ou vulnérables à des problèmes de sécurité à des fins de "Warez" (échange de fichiers volumineux via des sites FTP piratés). Cette tendance a été surtout constatée dans la communauté universitaire.

Les vulnérabilités marquantes

Parmi les vulnérabilités dont le Cert-IST vous a fait part cette année, voici celles qui ont le plus retenu l'attention de la communauté (par rapport au produit/service impacté, au risque induit et à la couverture médiatique de ces dernières).

Monde Microsoft :

Monde Unix/Linux :

Autres :

Du mouvement chez les éditeurs

Cette année 2003 a également été prolifique chez les éditeurs. Des nouvelles versions de système d'exploitation ou "suites" sont apparues comme par exemple Lotus Notes/Domino 6.0.1 (février), RedHat 9.0 (mars), NetBSD 1.6.1 (avril), Windows Server 2003 (avril), Mac OS X 10.3 (novembre) et OpenBSD 3.4 (novembre).

D'autre part, des anciennes versions d'OS ne seront plus suivies à partir de 2004 comme les systèmes Windows NT 4.0 (Serveur et Station de Travail), hormis au niveau des correctifs de sécurité qui eux seront suivis pour une année supplémentaire. Les versions Linux Red Hat 7.1 à 8 et Linux Mandrake 9.0 ne seront plus maintenues par leurs éditeurs respectifs.

Certains éditeurs ont également aménagé leur politique de publication, comme par exemple Microsoft qui ne publie dorénavant ses avis de sécurité que le second mardi de chaque mois (sauf cas de force majeure), et ceci afin de préparer les équipes système des SI à cette date "clé".

Enfin, deux projets du logiciel libre, le projet GNU (CERT-IST/IF-2003.005) et Debian (CERT-IST/IF-2003.009) ont été victimes de compromissions au sein de leur infrastructure respective. Cependant, ces attaques n'ont eu que peu d'impact sur la communauté des utilisateurs de ces solutions.