Statistiques - Incidents durant la semaine 09.2017

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Statistiques - Incidents durant la semaine 09.2017

Messagede pierre » 28 Fév 2017, 05:04

Le RENATER est un « Groupement d’intérêt public pour le réseau national de communications électroniques pour la technologie, l’enseignement et la recherche » qui a été constitué en 1993. Il dispose d'un CERT - Computer Emergency Response Team. Les organismes membres du GIP RENATER sont : CNRS, CPU, CEA, INRIA, CNES, INRA, INSERM, ONERA, CIRAD, IRSTEA, IRD, BRGM, ainsi que le Ministère de l’éducation nationale, de l’enseignement supérieur et de la Recherche.

Un bulletin statistique est émis chaque semaine faisant la synthèse des incidents.

Code: Tout sélectionner
=========================================================
Bulletin hebdomadaire du CERT RENATER

===========================================================

Bonjour,

Durant la semaine du 17/02/17 au 23/02/17, 8 cas de
compromissions avérées ont été portés à  notre attention.
Au total, 1 346 314 adresses IP ont été scannées par 8 492
sources distinctes.

Table des matières des sujets abordés :

* Compromissions et attaques de la semaine
* Diffusion des Ransomware SPORA et SAGE 2.0
* Fuite d'information de Cloudflare
* Failles de sécurité dans des produits Microsoft
* Failles de sécurité dans des produits Apple
* Failles de sécurité dans des applications PHP/CGI
* Liste des scans
* Infection par les Vers, Virus, Ransomwares et autres



Compromissions et attaques de la semaine
---------------------------------------


Cette semaine huit cas de compromissions nous a été signalés
et de nombreux ordinateurs infectés ont pu être mis au jour.

Six serveurs web utilisés pour mener des attaques en force brute
contre des sites web utilisant le CMS WordPress ont été découverts.
Dans un des cas l'analyse a permis de découvrir que l'attaquant a
utilisé une faille du script xmplrpc.php du CMS WordPress pour gagner
le contrà´le de la machine.

Un serveur web hébergeant un CMS SPIP utilisé antérieurement à
des fins de développement a été détourné afin d'être utilisé pour
envoyer du spam. Ce cas rappelle que les outils ayant servi à  des
développements abandonnés ne doivent pas être laissés en ligne.
En l'absence de maintenance, il peuvent rapidement devenir
la cible d'attaquants indélicats.

Un autre serveur web détourné à  des fins de phishing a également été
signalé.


2 cas d'envoi de spam ont aussi été signalés cette semaine.
Certains de ces envois ont été effectués par des attaquants
suite à  la compromission de comptes utilisateur de messagerie
via des attaques de type phishing.



Diffusion des Ransomware SPORA et SAGE 2
----------------------------------------

Un nouveau Ransomware nommé SPORA a été signalé.
Ce Ransomware découvert au début de l'année est actuellement en train
de se diffuser sur la toile. Il vise les postes sous Windows et entraine
le chiffrement des données du poste infecté.

Dans cette version les mécanismes de chiffrement et de paiement
de la rançon ont été modifiés. On notera aussi que les intrus ont pris
soin d'ajouter une messagerie instantanée pour contacter les victimes.
Pour se propager il utilise des codes d'exploitation de vulnérabilités
habillement ajoutés sur des sites web préalablement compromis ou
infectés. Il se propage aussi au travers de fichiers joints envoyés
via du spam. Il faut donc s'attendre à  recevoir de nouvelles campagnes
de spam visant à  propager cette menace.

A l'heure actuelle la détection de ce malware se base sur l'utilisation
du domaine : spora.biz et sur l'envoie de requêtes web du type
"POST / HTTP/1.1" Host: spora.biz


Détails et analyses:
https://www.bleepingcomputer.com/news/security/spora-ransomware-works-offline-has-the-most-sophisticated-payment-site-as-of-yet/
https://blog.cyber4sight.com/2017/01/blockchain-analysis-suggests-spora-ransomware-operates-via-affiliate-program/
http://malware-traffic-analysis.net/2017/02/15/index.html

Le malware « Spora » part à  la conquête du monde:
https://securelist.fr/infos/65903/spora-un-ransomware-oriente-client/
https://securelist.fr/infos/65897/le-malware-spora-part-a-la-conquete-du-monde/


Un autre Ransomware nommée SAGE 2.0 est aussi à  signaler.
Une campagne de diffusion visant à  propager le ransomware SAGE 2.0
via l'envoi de spam à  caractère "pornographique" a été decouvert.
Là  encore les fichiers infectés sont envoyés sous la forme d'un fichier
en .zip .

Détails et analyses:
https://www.grahamcluley.com/sage-2-0-ransomware/
https://www.symantec.com/connect/blogs/sage-20-ransomware-delivered-pandex-spambot-mimics-cerber-routines
https://blog.fortinet.com/2017/02/02/a-closer-look-at-sage-2-0-ransomware-along-with-wise-mitigations




Fuite d'information de Cloudflare
---------------------------------

Cette semaine, l'opérateur Cloudflare a annoncé que plusieurs
fonctionnalités de ses serveurs présentaient un bug entrainant la
diffusion d'informations entre plusieurs clients (un visiteur d'un site
web pouvant voir des informations envoyées à  un autre site web par un
autre utilisateur). Ce bug a été rapidement corrigé par Cloudflare.

L'élément le plus sensible est que certaines de ces informations sont
des données de connections normalement protégées par SSL. Il semble
qu'une partie de ces éléments aient put être archivés sur des sites tiers.

Les personnes utilisant les services d'un site affecté par ce bug sont
invitées à  procéder à  un changement de leurs mots de passe sur les
sites affectés et les sites réutilisant éventuellement ce mot de passe.

Pour en savoir plus:
https://bugs.chromium.org/p/project-zero/issues/detail?id?39
https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/


Failles de sécurité dans des produits Microsoft
----------------------------------------------

Cette semaine, Microsoft a publié un correctif hors calendrier
concernant le Framework .NET. Il corrige une vulnérabilité permettant
à  un attaquant d'accéder à  des informations protégées par la
fonctionnalité Always Encrypted.

Cette vulnérabilité étant signalée dans la version 4.6.2;
il est recommandé d'appliquer le correctif KB3205406.

Pour en savoir plus
https://technet.microsoft.com/en-us/library/security/MS16-155



Failles de sécurité dans des produits Apple
----------------------------------------------

Cette semaine, Apple a publié deux correctifs successifs pour
l'application Logic Pro X. Ils corrigent des failles de l'application
Garage Band pouvant conduire à l’exécution de code arbitraire.

Ces vulnérabilités étant signalées dans les versions inférieures à la 10.3,
il est recommandé de passer à la version 10.3.1.

Pour en savoir plus
About the security content of Logic Pro X 10.3.1
https://support.apple.com/en-us/HT207519
About the security content of Logic Pro X 10.3
https://support.apple.com/en-us/HT207476
Logic Pro X 10.3 release notes
https://support.apple.com/en-us/HT203718


il est recommandé de passer à la version 10.3.1. Pour en savoirr plus About the security content of Logic Pro X 10.3.1
https://support.apple.com/en-us/HT207519=https://support.apple.com/en-us/HT207519

About the security content of Logic Pro X 10.3
https://support.apple.com/en-us/HT207476=https://support.apple.com/en-us/HT207476
Logic Pro X 10.3 release notes
https://support.apple.com/en-us/HT203718=https://support.apple.com/en-us/HT203718


Failles de sécurité dans des applications PHP/CGI=PHP/CGI
-------------------------------------------------
OpenText Documentum Content Serve
Une faille du type DQL injection a été signalée dans l'application OpenText Documentum Content Server (anciennement EMC Documentum Content Server). Cette faille permet de manipuler des requêtes à la base de données PostgreSQL par l'injection de code DQL arbitraire. Cette vulnérabilité est signalée dans la version 7.3. Pour en savoir plus
http://packetstormsecurity.com/files/141124/OpenText-Documentum-Content-Server-7.3-SQL-Injection.html

Plugins WordPress
Une faille du type redirection ouverte a été signalée dans le plugin GTranslate. Des failles du type injection SQL ont été signalées dans le plugin Mail Masta. Des failles du type Cross Site Request Forgery (CSRF) ont été signalées dans le plugin ByREV WP-PICShield. Des failles du type Cross-SIte Scripting (XSS) pnt été signalées dans le plugin Easy Table. Les versions vulnérables sont GTranslate <= 2.8.10, Mail Masta 1.0Easy Table 1.6, ByREV WP-PICShield.


La version corrigée est GTranslate 2.8.11.

Pour en savoir plus
GTranslate
https://www.pluginvulnerabilities.com/2017/02/17/open-redirect-vulnerability-in-gtranslate/
https://fr.wordpress.org/plugins/gtranslate/

Mail Masta
https://github.com/hamkovic/Mail-Masta-Wordpress-Plugin

ByREV WP-PICShield
https://wpvulndb.com/vulnerabilities/8738

Easy Table
http://seclists.org/fulldisclosure/2017/Feb/24



Liste des scans
---------------

Cette liste est composée à  partir de remontées des rejets
d'ACL de plusieurs établissements de la communauté RENATER.
Elle fait apparaitre le classement des ports qui ont
été le plus scannés cette semaine.

Total destinations: 1346314
Total sources (distinctes): 8492
Port   Protocole Sources         Destinations
22     tcp       1527   17.98%   147657  10.97%
1433   tcp       396    4.66%    64730   4.81%
5060   udp       145    1.71%    64483   4.79%
80     tcp       797    9.39%    60042   4.46%
443    tcp       426    5.02%    48163   3.58%
1900   udp       1181   13.91%   42549   3.16%
53     udp       122    1.44%    39835   2.96%
23     tcp       2329   27.43%   38520   2.86%
3389   tcp       238    2.80%    37017   2.75%
3306   tcp       109    1.28%    29213   2.17%
123    udp       108    1.27%    21481   1.60%
137    udp       145    1.71%    20882   1.55%
8080   tcp       208    2.45%    18999   1.41%
161    udp       151    1.78%    15728   1.17%
1434   udp       51     0.60%    12928   0.96%
111    udp       24     0.28%    12068   0.90%
53413  udp       103    1.21%    10992   0.82%
25     tcp       145    1.71%    10779   0.80%
445    tcp       232    2.73%    8502    0.63%
0      icmp      144    1.70%    8330    0.62%
21     tcp       175    2.06%    8155    0.61%
69     udp       29     0.34%    6734    0.50%
5900   tcp       38     0.45%    6187    0.46%
2222   tcp       69     0.81%    6121    0.45%
3390   tcp       28     0.33%    5508    0.41%
3391   tcp       21     0.25%    5345    0.40%
1099   tcp       18     0.21%    5050    0.38%
3392   tcp       21     0.25%    4935    0.37%
8081   tcp       48     0.57%    4934    0.37%
19     udp       34     0.40%    4902    0.36%



Vers, Virus, Chevaux de Troie
-----------------------------

Cette semaine, 491 machines infectées par divers vers ou virus ont
été signalées ou détectées dans la communauté. Parmi ces codes
malveillants on trouve notamment :


104 ordinateurs infectés par la famille de Cheval de Troie Internet
Zeus ont aussi été mis au jour cette semaine. Ce cheval de Troie a pour
objectif de dérober les identifiants, notamment bancaires de ses
victimes. Différentes versions de ce cheval de Troie sont toujours en
circulation.

Détails et analyse:
http://www.secureworks.com/research/threats/zeus/


68 ordinateurs infectés par le ver W32/Conficker ont été mis au jour
cette semaine.

Afin de faciliter la détection des machines infectés, plusieurs
liens permettant de tester en ligne les ordinateurs ont été mis
en place. L'utilisation de scanner pour la détection de postes infectés
est aussi possible.

Sites de référence :
http://www.confickerworkinggroup.org/wiki/
http://www.dshield.org/conficker


102 postes infectés par l'Adware Apponic ont été détectés. Ce logiciel
est installé lors du téléchargement d'applications sur certains
sites web. Il ajoute du contenu publicitaire lors de la navigation
sur internet.

Pour en savoir plus
http://www.bitdefender.com/support/what-is-a-pua-pup-software-1189.html



Cordialement,

=========================================================
+ CERT-RENATER        | tel : 01-53-94-20-44            +
+ 23/25 Rue Daviel    | fax : 01-53-94-20-41            +
+ 75013 Paris         | email:cert@support.renater.fr   +
=========================================================

[An attachment of type application/pkcs7-signature was included here]





<= 2.8.10, Mail Masta 1.0,
Easy Table 1.6, ByREV WP-PICShield.


La version corrigée est GTranslate 2.8.11.

Pour en savoir plus
GTranslate
https://www.pluginvulnerabilities.com/2017/02/17/open-redirect-vulnerability-in-gtranslate/
https://fr.wordpress.org/plugins/gtranslate/

Mail Masta
https://github.com/hamkovic/Mail-Masta-Wordpress-Plugin

ByREV WP-PICShield
https://wpvulndb.com/vulnerabilities/8738

Easy Table
http://seclists.org/fulldisclosure/2017/Feb/24



Liste des scans
---------------

Cette liste est composée à  partir de remontées des rejets
d'ACL de plusieurs établissements de la communauté RENATER.
Elle fait apparaitre le classement des ports qui ont
été le plus scannés cette semaine.

Total destinations: 1346314
Total sources (distinctes): 8492
Port   Protocole Sources         Destinations
22     tcp       1527   17.98%   147657  10.97%
1433   tcp       396    4.66%    64730   4.81%
5060   udp       145    1.71%    64483   4.79%
80     tcp       797    9.39%    60042   4.46%
443    tcp       426    5.02%    48163   3.58%
1900   udp       1181   13.91%   42549   3.16%
53     udp       122    1.44%    39835   2.96%
23     tcp       2329   27.43%   38520   2.86%
3389   tcp       238    2.80%    37017   2.75%
3306   tcp       109    1.28%    29213   2.17%
123    udp       108    1.27%    21481   1.60%
137    udp       145    1.71%    20882   1.55%
8080   tcp       208    2.45%    18999   1.41%
161    udp       151    1.78%    15728   1.17%
1434   udp       51     0.60%    12928   0.96%
111    udp       24     0.28%    12068   0.90%
53413  udp       103    1.21%    10992   0.82%
25     tcp       145    1.71%    10779   0.80%
445    tcp       232    2.73%    8502    0.63%
0      icmp      144    1.70%    8330    0.62%
21     tcp       175    2.06%    8155    0.61%
69     udp       29     0.34%    6734    0.50%
5900   tcp       38     0.45%    6187    0.46%
2222   tcp       69     0.81%    6121    0.45%
3390   tcp       28     0.33%    5508    0.41%
3391   tcp       21     0.25%    5345    0.40%
1099   tcp       18     0.21%    5050    0.38%
3392   tcp       21     0.25%    4935    0.37%
8081   tcp       48     0.57%    4934    0.37%
19     udp       34     0.40%    4902    0.36%



Vers, Virus, Chevaux de Troie
-----------------------------

Cette semaine, 491 machines infectées par divers vers ou virus ont
été signalées ou détectées dans la communauté. Parmi ces codes
malveillants on trouve notamment :


104 ordinateurs infectés par la famille de Cheval de Troie Internet
Zeus ont aussi été mis au jour cette semaine. Ce cheval de Troie a pour
objectif de dérober les identifiants, notamment bancaires de ses
victimes. Différentes versions de ce cheval de Troie sont toujours en
circulation.

Détails et analyse:
http://www.secureworks.com/research/threats/zeus/


68 ordinateurs infectés par le ver W32/Conficker ont été mis au jour
cette semaine.

Afin de faciliter la détection des machines infectés, plusieurs
liens permettant de tester en ligne les ordinateurs ont été mis
en place. L'utilisation de scanner pour la détection de postes infectés
est aussi possible.

Sites de référence :
http://www.confickerworkinggroup.org/wiki/
http://www.dshield.org/conficker


102 postes infectés par l'Adware Apponic ont été détectés. Ce logiciel
est installé lors du téléchargement d'applications sur certains
sites web. Il ajoute du contenu publicitaire lors de la navigation
sur internet.

Pour en savoir plus
http://www.bitdefender.com/support/what-is-a-pua-pup-software-1189.html



Cordialement,

=========================================================
+ CERT-RENATER        | tel : 01-53-94-20-44            +
+ 23/25 Rue Daviel    | fax : 01-53-94-20-41            +
+ 75013 Paris         | email:cert@support.renater.fr   +
=========================================================

Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28381
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 56 invités

cron