CERTA-2001-ALE-008
Vulnerability from certfr_alerte - Published: - Updated:
Un nouveau ver se propage en exploitant une faille du serveur d'indexation de Windows.
Description
Un ver se propage en exploitant une faille dans le serveur d'indexation de Windows découverte en juin 2001. Cette faille permet à un utilisateur malveillant d'exécuter à distance des commandes sur un serveur IIS (Internet Information Server) vulnérable.
Lorsqu'une machine est compromise par ce ver, la page d'accueil du site web peut être remplacée par le texte « Welcome to http://www.worm.com ! Hacked By Chinese! » écrit en rouge. L'absence de ce texte n'est pas une garantie de ne pas être compromis.
De plus, ce ver parcourt des adresses IP à la recherche de serveurs IIS vulnérables afin de les compromettre. Pour cela, le ver balaie des adresses IP choisies au hasard.
L'implémentation du tirage aléatoire des adresses IP dans la première version du ver contient une légère erreur. Il en résulte que chaque machine va effectuer exactement le même tirage, et par conséquent, toutes les machines compromises vont attaquer les mêmes cibles, ce qui peut entraîner un déni de service. Ainsi, une machine qui serait compromise et réinstallée sans mise à jour du serveur IIS serait piratée de nouveau assez rapidement.
Une nouvelle version du ver aurait corrigé cette erreur. Ainsi tout serveur IIS qui n'a pas appliqué le correctif, quelque soit son adresse IP, pourrait être vulnérable aux nouvelles versions du ver.
La compromission d'un serveur IIS se passe par le biais d'un URL astucieusement construit qui ressemble à :
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNN[divers caract�res en unicode]=a HTTP/1.0
Certains sites français qui analysent leur journaux de connexions ont constaté en juillet plusieurs milliers de tentatives de piratages de ce type sur leurs serveurs. Ceci laisse entendre qu'un nombre très important de serveurs IIS ont été contaminés dans le monde, ce que semble confirmer l'avis CA-2001-23 du CERT/CC. Des serveurs français ont été contaminés.
De plus, il arrive parfois que le ver entraîne l'arrêt de la machine compromise après avoir consommé toutes les ressources du système.
Les versions du ver en circulation déjà identifiées ont des phases d'infection qui commencent le premier jour du mois d'août.
Le fonctionnement et l'administration des produits Cisco peuvent être compromis par le ver.
Depuis le samedi 04 août, on peut observer une nouvelle version du ver "Code Red". Ce ver utilise la même faille que la version initiale, mais installe en plus une porte dérobée sur le serveur. Il est alors possible d'exécuter du code à distance sur la machine, et d'accéder aux disques C: et D: de l'ordinateur.
En effet, ce ver fait tourner un faux processus "explorer.exe", qui permet à un pirate de prendre la main sur la machine à distance. Deux fichiers "explorer.exe" sont créés, ainsi que 4 fichiers "Root.exe".
De plus, le ver modifie la valeurs de certaines clés dans la base de registres.
Cette nouvelle version utilise un URL très proche de l'URL ci-dessus, utilisé dans la version initale, où les "N" sont remplacés par des "X" :
GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX[divers caract�res en unicode]=a HTTP/1.0
Contrairement à la première version, l'infection par ce ver résiste au simple redémarrage de l'ordinateur.
A mesure que le ver se propage, de nombreuses machines compromises peuvent tenter de contaminer un serveur WEB. Quelque soit le logiciel derrière le serveur WEB, IIS ou non, il peut y avoir des effets de bords associés à la charge engendrée par le traitement des URL correspondant à Code Red. Par exemple, les sites qui font un traitement particulier sur toutes les erreurs 404, peuvent être victime d'un déni de service dû à la fréquence de ce traitement.
Solution
Une nouvelle vague d'attaque pourrait avoir lieu dès le premier jour du mois d'août. Son ampleur dépendra notamment du nombre de machines déjà contaminées qui n'ont pas été corrigées et du nombre de machines encore vulnérables. Cependant, la virulence constatée lors du mois de juillet invite à être extrêmement prudent et à appliquer immédiatement les mesures décrites ci-dessous.
5.1 Protégez-vous
Appliquez les correctifs indiqués dans l'avis CERTA-2001-AVI-064 et dans l'avis Cisco. Les patchs pour les versions françaises sont maintenant accessibles.
Si vous vous connectez à Internet par un modem, le cable ou l'ADSL dans le but unique de consulter votre mél, de lire les forums, de naviguer, etc. mais que vous n'offrez pas un site WEB, il se peut néanmoins que le logiciel IIS soit lancé sur votre ordinateur (configuration par défaut par exemple), il est prudent dans ce cas de couper IIS le temps de la connexion afin de ne pas être compromis.
5.2 Nettoyez
Le seul moyen vraiment sûr pour se débarasser de ce ver est de réinstaller complétement le système.
Si cela n'est pas possible, il existe une procédure de nettoyage décrite par Symantec :
http://www.sarc.com/avcenter/venc/data/codered.v3.html
Mais si votre serveur a été compromis, il se peut qu'une personne ait déjà installé des fichiers sur la machine, ou modifié des clés de la base de registres, que la procédure de nettoyage laissera en état.
5.3 Alertez
Afin de nettoyer le parc de machines infectées, il est important de pouvoir prévenir les administrateurs de chacunes des machines infectées. Si vous avez un serveur WEB, le journal des connexions peut aider à découvrir ces machines compromises.
On peut rechercher des traces de ce type d'attaques dans les journaux de
connexions d'un serveur WEB mis en œuvre par le logiciel Apache grâce à
la commande : grep -E "GET /[^.]*.id(a|q)\?" access_log.
Un détecteur de tentatives d'intrusion (IDS) peut aussi aider à découvrir les (tentatives d')attaques. Les IDS peuvent aider à détecter les attaques faites par le ver Code Red ou des attaques similaires. L'IDS ne vous protégera pas contre l'attaque, seul l'application du correctif peut vous protéger. Le site ArachNIDS, donne des signatures d'agressions pour quelques IDS.
Si vous constatez de tels URL dans vos journaux, veuillez prendre contact, sans délai, avec le CERTA.
None| Vendor | Product | Description | ||
|---|---|---|---|---|
| Centreon | Web | Certains routeurs Cisco ou serveurs WEB subissent des effets de bord dû au balayage agressif exécuté par le ver. | ||
| Cisco | N/A | Tous les matériels qui embarquent le logiciel ci-dessus, en particulier : Cisco CallManager, Cisco Unity Server, Cisco uOne, Cisco ICS7750, voire d'autre produits Cisco (cf. l'avis Cisco mentionné dans le paragraphe consacré à la documentation concernant cette alerte.). | ||
| Microsoft | Windows | Tous les systèmes avec Microsoft Index Server 2.0 ou Indexing Service dans Microsoft Windows 2000 sur lesquels les correctifs indiqués dans l'avis CERTA-2001-AVI-064 n'ont pas été appliqués. |
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [
{
"description": "Certains routeurs Cisco ou serveurs WEB subissent des effets de bord d\u00fb au balayage agressif ex\u00e9cut\u00e9 par le ver.",
"product": {
"name": "Web",
"vendor": {
"name": "Centreon",
"scada": false
}
}
},
{
"description": "Tous les mat\u00e9riels qui embarquent le logiciel ci-dessus, en particulier : Cisco CallManager, Cisco Unity Server, Cisco uOne, Cisco ICS7750, voire d\u0027autre produits Cisco (cf. l\u0027avis Cisco mentionn\u00e9 dans le paragraphe consacr\u00e9 \u00e0 la documentation concernant cette alerte.).",
"product": {
"name": "N/A",
"vendor": {
"name": "Cisco",
"scada": false
}
}
},
{
"description": "Tous les syst\u00e8mes avec Microsoft Index Server 2.0 ou Indexing Service dans Microsoft Windows 2000 sur lesquels les correctifs indiqu\u00e9s dans l\u0027avis CERTA-2001-AVI-064 n\u0027ont pas \u00e9t\u00e9 appliqu\u00e9s.",
"product": {
"name": "Windows",
"vendor": {
"name": "Microsoft",
"scada": false
}
}
}
],
"affected_systems_content": null,
"closed_at": "2001-08-13",
"content": "## Description\n\nUn ver se propage en exploitant une faille dans le serveur d\u0027indexation\nde Windows d\u00e9couverte en juin 2001. Cette faille permet \u00e0 un utilisateur\nmalveillant d\u0027ex\u00e9cuter \u00e0 distance des commandes sur un serveur IIS\n(Internet Information Server) vuln\u00e9rable.\n\nLorsqu\u0027une machine est compromise par ce ver, la page d\u0027accueil du site\nweb peut \u00eatre remplac\u00e9e par le texte \u00ab Welcome to http://www.worm.com !\nHacked By Chinese! \u00bb \u00e9crit en rouge. L\u0027absence de ce texte n\u0027est pas une\ngarantie de ne pas \u00eatre compromis.\n\nDe plus, ce ver parcourt des adresses IP \u00e0 la recherche de serveurs IIS\nvuln\u00e9rables afin de les compromettre. Pour cela, le ver balaie des\nadresses IP choisies au hasard.\n\nL\u0027impl\u00e9mentation du tirage al\u00e9atoire des adresses IP dans la premi\u00e8re\nversion du ver contient une l\u00e9g\u00e8re erreur. Il en r\u00e9sulte que chaque\nmachine va effectuer exactement le m\u00eame tirage, et par cons\u00e9quent,\ntoutes les machines compromises vont attaquer les m\u00eames cibles, ce qui\npeut entra\u00eener un d\u00e9ni de service. Ainsi, une machine qui serait\ncompromise et r\u00e9install\u00e9e sans mise \u00e0 jour du serveur IIS serait pirat\u00e9e\nde nouveau assez rapidement.\n\nUne nouvelle version du ver aurait corrig\u00e9 cette erreur. Ainsi tout\nserveur IIS qui n\u0027a pas appliqu\u00e9 le correctif, quelque soit son adresse\nIP, pourrait \u00eatre vuln\u00e9rable aux nouvelles versions du ver.\n\nLa compromission d\u0027un serveur IIS se passe par le biais d\u0027un URL\nastucieusement construit qui ressemble \u00e0 :\n\n GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\n NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\n NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN\n NNNNNNNNNNNNNNNNNNNNNNNNNNNN[divers caract\ufffdres en unicode]=a HTTP/1.0\n\nCertains sites fran\u00e7ais qui analysent leur journaux de connexions ont\nconstat\u00e9 en juillet plusieurs milliers de tentatives de piratages de ce\ntype sur leurs serveurs. Ceci laisse entendre qu\u0027un nombre tr\u00e8s\nimportant de serveurs IIS ont \u00e9t\u00e9 contamin\u00e9s dans le monde, ce que\nsemble confirmer l\u0027avis CA-2001-23 du CERT/CC. Des serveurs fran\u00e7ais ont\n\u00e9t\u00e9 contamin\u00e9s.\n\nDe plus, il arrive parfois que le ver entra\u00eene l\u0027arr\u00eat de la machine\ncompromise apr\u00e8s avoir consomm\u00e9 toutes les ressources du syst\u00e8me.\n\nLes versions du ver en circulation d\u00e9j\u00e0 identifi\u00e9es ont des phases\nd\u0027infection qui commencent le premier jour du mois d\u0027ao\u00fbt.\n\nLe fonctionnement et l\u0027administration des produits Cisco peuvent \u00eatre\ncompromis par le ver. \n\nDepuis le samedi 04 ao\u00fbt, on peut observer une nouvelle version du ver\n\"Code Red\". Ce ver utilise la m\u00eame faille que la version initiale, mais\ninstalle en plus une porte d\u00e9rob\u00e9e sur le serveur. Il est alors possible\nd\u0027ex\u00e9cuter du code \u00e0 distance sur la machine, et d\u0027acc\u00e9der aux disques\nC: et D: de l\u0027ordinateur.\n\nEn effet, ce ver fait tourner un faux processus \"explorer.exe\", qui\npermet \u00e0 un pirate de prendre la main sur la machine \u00e0 distance. Deux\nfichiers \"explorer.exe\" sont cr\u00e9\u00e9s, ainsi que 4 fichiers \"Root.exe\".\n\nDe plus, le ver modifie la valeurs de certaines cl\u00e9s dans la base de\nregistres.\n\nCette nouvelle version utilise un URL tr\u00e8s proche de l\u0027URL ci-dessus,\nutilis\u00e9 dans la version initale, o\u00f9 les \"N\" sont remplac\u00e9s par des \"X\" :\n\n GET /default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\n XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\n XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX\n XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX[divers caract\ufffdres en unicode]=a HTTP/1.0\n\nContrairement \u00e0 la premi\u00e8re version, l\u0027infection par ce ver r\u00e9siste au\nsimple red\u00e9marrage de l\u0027ordinateur.\n\nA mesure que le ver se propage, de nombreuses machines compromises\npeuvent tenter de contaminer un serveur WEB. Quelque soit le logiciel\nderri\u00e8re le serveur WEB, IIS ou non, il peut y avoir des effets de bords\nassoci\u00e9s \u00e0 la charge engendr\u00e9e par le traitement des URL correspondant \u00e0\nCode Red. Par exemple, les sites qui font un traitement particulier sur\ntoutes les erreurs 404, peuvent \u00eatre victime d\u0027un d\u00e9ni de service d\u00fb \u00e0\nla fr\u00e9quence de ce traitement.\n\n## Solution\n\nUne nouvelle vague d\u0027attaque pourrait avoir lieu d\u00e8s le premier jour du\nmois d\u0027ao\u00fbt. Son ampleur d\u00e9pendra notamment du nombre de machines d\u00e9j\u00e0\ncontamin\u00e9es qui n\u0027ont pas \u00e9t\u00e9 corrig\u00e9es et du nombre de machines encore\nvuln\u00e9rables. Cependant, la virulence constat\u00e9e lors du mois de juillet\ninvite \u00e0 \u00eatre extr\u00eamement prudent et \u00e0 appliquer imm\u00e9diatement les\nmesures d\u00e9crites ci-dessous.\n\n## 5.1 Prot\u00e9gez-vous\n\nAppliquez les correctifs indiqu\u00e9s dans l\u0027avis CERTA-2001-AVI-064 et dans\nl\u0027avis Cisco. Les patchs pour les versions fran\u00e7aises sont maintenant\naccessibles.\n\nSi vous vous connectez \u00e0 Internet par un modem, le cable ou l\u0027ADSL dans\nle but unique de consulter votre m\u00e9l, de lire les forums, de naviguer,\netc. mais que vous n\u0027offrez pas un site WEB, il se peut n\u00e9anmoins que le\nlogiciel IIS soit lanc\u00e9 sur votre ordinateur (configuration par d\u00e9faut\npar exemple), il est prudent dans ce cas de couper IIS le temps de la\nconnexion afin de ne pas \u00eatre compromis.\n\n## 5.2 Nettoyez\n\nLe seul moyen vraiment s\u00fbr pour se d\u00e9barasser de ce ver est de\nr\u00e9installer compl\u00e9tement le syst\u00e8me.\n\nSi cela n\u0027est pas possible, il existe une proc\u00e9dure de nettoyage d\u00e9crite\npar Symantec :\n\n http://www.sarc.com/avcenter/venc/data/codered.v3.html\n\nMais si votre serveur a \u00e9t\u00e9 compromis, il se peut qu\u0027une personne ait\nd\u00e9j\u00e0 install\u00e9 des fichiers sur la machine, ou modifi\u00e9 des cl\u00e9s de la\nbase de registres, que la proc\u00e9dure de nettoyage laissera en \u00e9tat.\n\n## 5.3 Alertez\n\nAfin de nettoyer le parc de machines infect\u00e9es, il est important de\npouvoir pr\u00e9venir les administrateurs de chacunes des machines infect\u00e9es.\nSi vous avez un serveur WEB, le journal des connexions peut aider \u00e0\nd\u00e9couvrir ces machines compromises.\n\nOn peut rechercher des traces de ce type d\u0027attaques dans les journaux de\nconnexions d\u0027un serveur WEB mis en \u0153uvre par le logiciel Apache gr\u00e2ce \u00e0\nla commande : `grep -E \"GET /[^.]*.id(a|q)\\?\" access_log`.\n\nUn d\u00e9tecteur de tentatives d\u0027intrusion (IDS) peut aussi aider \u00e0\nd\u00e9couvrir les (tentatives d\u0027)attaques. Les IDS peuvent aider \u00e0 d\u00e9tecter\nles attaques faites par le ver Code Red ou des attaques similaires.\nL\u0027IDS ne vous prot\u00e9gera pas contre l\u0027attaque, seul l\u0027application du\ncorrectif peut vous prot\u00e9ger. Le site ArachNIDS, donne des signatures\nd\u0027agressions pour quelques IDS.\n\nSi vous constatez de tels URL dans vos journaux, veuillez prendre\ncontact, sans d\u00e9lai, avec le CERTA.\n",
"cves": [],
"links": [
{
"title": "En particulier les liens suivants :",
"url": "http://www.cert.org/advisories/CA-2001-19.html"
}
],
"reference": "CERTA-2001-ALE-008",
"revisions": [
{
"description": "correction de la r\u00e9f\u00e9rence \u00e0 l\u0027avis.",
"revision_date": "2001-07-18T00:00:00.000000"
},
{
"description": "ajout de la vuln\u00e9rabilit\u00e9 sous CISCO.",
"revision_date": "2001-07-20T00:00:00.000000"
},
{
"description": "mise \u00e0 jour.",
"revision_date": "2001-07-30T00:00:00.000000"
},
{
"description": "apparition d\u0027une nouvelle version du ver \"Code Red\".",
"revision_date": "2001-08-06T00:00:00.000000"
},
{
"description": "mise \u00e0 jour de la proc\u00e9dure de nettoyage.",
"revision_date": "2001-08-07T00:00:00.000000"
},
{
"description": "effets de bord sur d\u0027autres serveurs WEB, le correctif de Microsoft pour NT 4.0 n\u0027existe pas en Fran\u00e7ais, couper IIS lorsqu\u0027on se connecte \u00e0 Internet uniquement pour naviguer.",
"revision_date": "2001-08-09T00:00:00.000000"
},
{
"description": "le correctif de Microsoft pour NT 4.0 est accessible en fran\u00e7ais.",
"revision_date": "2001-08-13T00:00:00.000000"
}
],
"risks": [
{
"description": "Compromission des serveurs et risque de d\u00e9ni de service"
}
],
"summary": "Un nouveau ver se propage en exploitant une faille du serveur\nd\u0027indexation de Windows.\n",
"title": "Propagation du ver \u00ab Code Red \u00bb",
"vendor_advisories": [
{
"published_at": null,
"title": "Bugtraq",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.