Statistiques - Incidents durant la semaine 10.2017

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Statistiques - Incidents durant la semaine 10.2017

Messagede pierre » 09 Mar 2017, 14:08

Statistiques - Incidents durant la semaine 10.2017

Le RENATER est un « Groupement d’intérêt public pour le réseau national de communications électroniques pour la technologie, l’enseignement et la recherche » qui a été constitué en 1993. Il dispose d'un CERT - Computer Emergency Response Team. Les organismes membres du GIP RENATER sont : CNRS, CPU, CEA, INRIA, CNES, INRA, INSERM, ONERA, CIRAD, IRSTEA, IRD, BRGM, ainsi que le Ministère de l’éducation nationale, de l’enseignement supérieur et de la Recherche.

Un bulletin statistique est émis chaque semaine faisant la synthèse des incidents.

=========================================================
Bulletin hebdomadaire du CERT RENATER

===========================================================


Bonjour,


Durant la semaine du 24/02/17 au 02/03/17, 5 cas de
compromissions avérées ont été portés à notre attention.
Au total, 1 268 900 adresses IP ont été scannées par 22 140
sources distinctes.

Table des matières des sujets abordés :

* Compromissions et attaques de la semaine
* Failles de sécurité dans des applications PHP/CGI
* Liste des scans
* Infection par les Vers, Virus, Ransomwares et autres



Compromissions et attaques de la semaine
---------------------------------------


Cette semaine 5 cas de compromissions nous a été signalés
et de nombreux ordinateurs infectés ont pu être mis au jour.


Une machine appartenant à un réseau expérimental a été compromise.
Elle a été utilisée pour lancer des attaques de déni de service "DoS - Attaque par Déni de Service (Denial of Service attack)".
Le débit de l'attaque en sortie de site était de 1.2 Gb/s.
L'incident est toujours en cours d'analyse.

Un serveur web victime de défiguration a été signalé.
Ce serveur semble avoir été victime d'une attaque par l’intermédiaire
de l'API "REST" du CMS WordPress. Cette API permet a un utilisateur
non authentifié de modifier le contenu d'un article du site.
Cette attaque peut se repérer par des accès POST sur les scripts
du dossier wp-json. Il est très fortement recommandé de passer
à la version 4.7.2.

Pour en savoir plus
https://blog.sucuri.net/2017/02/wordpre ... aigns.html
https://blog.sucuri.net/2017/02/content ... t-api.html


Un autre serveur web détourné à des fins de phishing a également été
signalé.


2 cas d'envoi de spam a aussi été signalé cette semaine. La
plupart de ces envois ont été effectués par des attaquants
suite à la compromission de comptes utilisateur de messagerie
via des attaques de type phishing.

Un établissement a d'ailleurs signalé une campagne de spam
de phishing ciblée visant à récupérer des identifiants de
connexion de compte de messagerie de ses utilisateurs.

Une trentaine d'utilisateurs ce sont ainsi fait voler leurs identifiants
avant le blocage de la campagne de spam.
Tous les identifiants ont du être changé.



Failles de sécurité dans des applications PHP/CGI
-------------------------------------------------


NagVis

Une vulnérabilité a été signalée dans l'application NagVis. Un contrôle
insuffisant des données passées au script "nagvis-master/share/userfiles
/gadgets/std_table.php" peut conduire à l’exécution de code HTML ou
script arbitraire dans le navigateur de l'utilisateur consultant un
site impacté.

Cette vulnérabilité étant signalée dans les versions <= 1.9B11,
il est recommandé de passer à la version 1.9b12.

Pour en savoir plus
https://github.com/NagVis/nagvis/issues/91
http://nagvis.org/downloads/changelog/1.9b12


OpenEMR

Une vulnérabilité a été signalée dans l'application OpenEMR. Un
contrôle insuffisant des données passées au script "nagvis-master/share
/userfiles/gadgets/std_table.php" peut conduire à l’exécution de code
HTML ou script arbitraire dans le navigateur de l'utilisateur
consultant un site impacté.

Cette vulnérabilité étant signalée dans les versions <= 5.0.0,
il est recommandé de passer à la version 5.0.1.

Pour en savoir plus
https://github.com/openemr/openemr/issues/498


Plugin Wordpress

Une faille provenant de l'absence de vérification des certificats SSL a
été signalée dans le plugin "VaultPress".

Une faille permettant le téléversement de fichier arbitraire a été
signalée dans le plugin "Mobile App Native"

Des failles du type injection SQL ont été signalées dans le plugin
"Kama Click Counter"

Des failles du type Cross-Site Request Forgery (CSRF) ont été signalées
dans le plugin "Download Manager" , "Contact Form Manager", "Global
Content Blocks" , "Gwolle Guestbook " , "Popup by Supsystic"


Des failles du type Cross-Site Scripting (XSS) ont été signalées dans
les plugins "Alpine PhotoTile" , "Atahualpa Theme" , "Contact Form by
BestWebSoft" , "Contact Form Manager", "Google Analytics Dashboard",
"Magic Fields", "NewStatPress", "Trust Form", "User Login Log",
"WP-SpamFree Anti-Spam", "AnyVar", "rockhoist-badges"


Les versions vulnérables sont Alpine PhotoTile <= 1.2.7.7; Atahualpa
Theme; Contact Form by BestWebSoft <= 4.0.1; Contact Form Manager;
Download Manager <= 2.8.99; Global Content Blocks <= 2.15; Google
Analytics Dashboard <= 2.1.1; Gwolle Guestbook <= 2.1.0; Kama Click
Counter <= 3.4.9; Magic Fields <= 1.7.1; Mobile App Native <= 3.0;
NewStatPress <= 1.2.4; NextGEN Gallery <= 2.1.77; Popup by Supsystic <=
1.7.6; Trust Form <= 2.0; User Login Log <= 2.2.1; VaultPress <= 1.8.4;
WP-SpamFree Anti-Spam <= 2.1.1.4; AnyVar <= 0.1.1; rockhoist-badges <=
1.2.2.

Les versions corrigées sont Alpine PhotoTile 1.2.7.7; Contact Form by
BestWebSoft 4.0.2; Contact Form Manager; Download Manager; Global
Content Blocks; Google Analytics Dashboard; Gwolle Guestbook 2.1.1;
Magic Fields 1.7.2; NewStatPress 1.2.5; NextGEN Gallery 2.1.79; Popup
by Supsystic; Trust Form; User Login Log; WP-SpamFree Anti-Spam

Pour en savoir plus
Alpine PhotoTile
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/94
Atahualpa Theme
https://sumofpwn.nl/advisory/2016/cross ... theme.html
http://seclists.org/fulldisclosure/2017/Feb/83

Contact Form by BestWebSoft
https://sumofpwn.nl/advisory/2016/store ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/100


Contact Form Manager
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/99

Download Manager
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/82

Global Content Blocks
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
http://seclists.org/bugtraq/2017/Mar/0

Google Analytics Dashboard
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/93

Gwolle Guestbook
https://sumofpwn.nl/advisory/2016/gwoll ... rgery.html
http://seclists.org/bugtraq/2017/Mar/4

Kama Click Counter
http://seclists.org/fulldisclosure/2017/Feb/67

Magic Fields
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
https://github.com/hunk/Magic-Fields/releases/tag/1.7.2
http://seclists.org/bugtraq/2017/Mar/6

Mobile App Native
http://www.vapidlabs.com/advisory.php?v8

NewStatPress <= 1.2.4 - Stored Cross-Site Scripting (XSS)
https://sumofpwn.nl/advisory/2016/persi ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/81

NextGEN Gallery
https://blog.sucuri.net/2017/02/sql-inj ... press.html
https://plugins.trac.wordpress.org/chan ... en-gallery

Popup by Supsystic
https://sumofpwn.nl/advisory/2016/popup ... rgery.html
http://seclists.org/fulldisclosure/2017/Feb/97

Trust Form
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/77

User Login Log
https://sumofpwn.nl/advisory/2016/store ... lugin.html
http://seclists.org/bugtraq/2017/Mar/7

VaultPress - Backend Server SSL Verification Disabled
https://sumofpwn.nl/advisory/2016/vault ... ttack.html
http://seclists.org/fulldisclosure/2017/Feb/95

WP-SpamFree Anti-Spam
https://sumofpwn.nl/advisory/2016/cross ... lugin.html
http://seclists.org/fulldisclosure/2017/Feb/79

AnyVar
http://www.vapidlabs.com/advisory.php?v7

rockhoist-badges
http://www.vapidlabs.com/advisory.php?v6




Liste des scans
---------------

Cette liste est composée à partir de remontées des rejets
d'ACL de plusieurs établissements de la communauté RENATER.
Elle fait apparaitre le classement des ports qui ont
été le plus scannés cette semaine.

Total destinations: 1268900
Total sources (distinctes): 22140
Port Protocole Sources Destinations
22 tcp 4745 21.43% 193310 15.23%
23 tcp 13221 59.72% 136323 10.74%
1433 tcp 387 1.75% 60272 4.75%
5060 udp 145 0.65% 55610 4.38%
80 tcp 518 2.34% 46497 3.66%
1900 udp 745 3.36% 44993 3.55%
3389 tcp 273 1.23% 37057 2.92%
443 tcp 315 1.42% 33363 2.63%
3306 tcp 128 0.58% 29684 2.34%
81 tcp 124 0.56% 27386 2.16%
53 udp 96 0.43% 25003 1.97%
123 udp 135 0.61% 22912 1.81%
137 udp 140 0.63% 21982 1.73%
8080 tcp 213 0.96% 17013 1.34%
161 udp 75 0.34% 12688 1.00%
111 tcp 56 0.25% 11279 0.89%
1434 udp 49 0.22% 10030 0.79%
0 icmp 125 0.56% 9497 0.75%
111 udp 34 0.15% 9016 0.71%
445 tcp 271 1.22% 7945 0.63%
25 tcp 116 0.52% 7941 0.63%
5900 tcp 76 0.34% 7714 0.61%
53413 udp 62 0.28% 7233 0.57%
19 udp 48 0.22% 6465 0.51%
69 udp 31 0.14% 5974 0.47%
21 tcp 116 0.52% 5110 0.40%
2222 tcp 114 0.51% 4965 0.39%
1099 tcp 19 0.09% 4624 0.36%
27017 tcp 150 0.68% 4519 0.36%
8888 tcp 44 0.20% 4398 0.35%


Vers, Virus, Chevaux de Troie
-----------------------------

Cette semaine, 438 machines infectées par divers vers ou virus ont
été signalées ou détectées dans la communauté. Parmi ces codes
malveillants on trouve notamment :

109 postes infectés par l'Adware Apponic ont été détectés. Ce logiciel
est installé lors du téléchargement d'applications sur certains
sites web. Il ajoute du contenu publicitaire lors de la navigation
sur internet.

Pour en savoir plus
http://www.bitdefender.com/support/what ... -1189.html

Ajout Assiste.com, en français :
Comment supprimer Apponic.com (Apptracker.exe)
Drive-by download
Pup - Potentially Unwanted Program
Installer une application - Attention aux trucs indésirables livrés avec

66 ordinateurs infectés par le ver W32/Conficker ont été mis au jour
cette semaine.

Ajout Assiste :
Suppression gratuite avec Stinger de McAfee.

Afin de faciliter la détection des machines infectés, plusieurs
liens permettant de tester en ligne les ordinateurs ont été mis
en place. L'utilisation de scanner pour la détection de postes infectés
est aussi possible.

Sites de référence :
http://www.confickerworkinggroup.org/wiki/
http://www.dshield.org/conficker


19 ordinateurs infectés par la famille de Cheval de Troie Internet
Zeus ont aussi été mis au jour cette semaine. Ce cheval de Troie a pour
objectif de dérober les identifiants, notamment bancaires de ses
victimes. Différentes versions de ce cheval de Troie sont toujours en
circulation.

Détails et analyse:
http://www.secureworks.com/research/threats/zeus/


19 postes infectés par le malware Virut ont aussi été mis au jour
cette semaine. Les postes infectés par ce virus sont ensuite
intégré a un Botnet spécialisé dans les attaques de DDoS et dans l'envoi
de spam.

https://www.symantec.com/security_respo ... .jsp?docid 07-041117-2623-99



5 Postes infectés par le Ransomware SPORA ont été découverts
cette semaine. Ce Ransomware découvert au début de l'année est
actuellement en train de se diffuser sur la toile.
Il vise les postes sous Windows et entraine le chiffrement
des données du poste infecté.

A l'heure actuelle la détection de ce malware se base sur l'utilisation
des domaines spora.biz, spora.bz et spora.store au niveau des serveurs
190.115.26.202 [Belize] et 186.2.163.47 [Russie] ainsi que
sur l'envoie de requêtes web du type :

POST / HTTP/1.1 Host: spora.biz
POST / HTTP/1.1 Host: spora.store
POST / HTTP/1.1 Host: spora.bz
...


Alerting on Spora ransomware:
https://community.rsa.com/community/pro ... ransomware

https://www.bleepingcomputer.com/news/s ... as-of-yet/

http://malware-traffic-analysis.net/201 ... index.html




Cordialement,

=========================================================
+ CERT-RENATER | tel : 01-53-94-20-44 +
+ 23/25 Rue Daviel | fax : 01-53-94-20-41 +
+ 75013 Paris | email:cert@support.renater.fr +
=========================================================
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 28401
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 55 invités