certfr_alerte - certa-2001-ale-007

CERTA-2001-ALE-007

Vulnerability from certfr_alerte - Published: - Updated:

Un nouveau ver se propage en exploitant des vulnérabilités assez anciennes de Sun Solaris et de IIS. Celui-ci permet l'obtention de privilèges administrateur à distance.

Description

Ce nouveau ver exploite deux failles assez connues pour se propager.

Il se propage sur les systèmes Solaris par la vulnérabilité de sadmind connue depuis décembre 1999.

Après avoir piraté le système Solaris, le ver ajoute la ligne « + + » dans le fichier .rhosts qui se trouve dans le répertoire de l'utilisateur root.

Il installe ensuite des outils pour exploiter la vulnérabilité d'IIS connue depuis octobre 2000 (sous le nom "Web Server Folder Traversal").

Il modifie ensuite le fichier index.html du système sur lequel il se trouve après avoir piraté 2000 serveurs IIS.

Un système Solaris compromis par ce ver contient normalement :

Une fenetre de commande avec les privilèges administrateur en écoute sur le port 600/tcp ;
le répertoire /dev/cub qui contient des logs de machines piratées ;
le répertoire /dev/cuc qui contient les outils d'attaque.

Contournement provisoire

Veiller à bloquer le trafic à destination du port 111/tcp (sunrpc - portmapper, nécessaire à l'exploitation de la faille sadmind).

Solution

Appliquer les patches correctifs qui se trouvent sur les liens :

Pour IIS 4.0 :

http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp

Pour IIS 5.0 :

http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp

Pour sadmind :

http://www.sunsolve.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba

Si la machine est compromise, prendre contact avec le CERTA.

None

Impacted products

	Vendor	Product	Description
	N/A	N/A	Tous les systèmes Solaris de 2.3 à 7 non mis à jour.
	N/A	N/A	Tous les systèmes avec les versions 4.0 et 5.0 non mises à jour de Internet Information Server (IIS) ;

References

Title

Publication Time

Tags

CERT-CC

None

vendor-advisory

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Tous les syst\u00e8mes Solaris de 2.3 \u00e0 7 non mis \u00e0 jour.",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    },
    {
      "description": "Tous les syst\u00e8mes avec les versions 4.0 et 5.0 non mises \u00e0 jour de Internet Information Server (IIS) ;",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "N/A",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": null,
  "closed_at": "2001-05-09",
  "content": "## Description\n\nCe nouveau ver exploite deux failles assez connues pour se propager.\n\nIl se propage sur les syst\u00e8mes Solaris par la vuln\u00e9rabilit\u00e9 de sadmind\nconnue depuis d\u00e9cembre 1999.\n\nApr\u00e8s avoir pirat\u00e9 le syst\u00e8me Solaris, le ver ajoute la ligne \u00ab + + \u00bb\ndans le fichier .rhosts qui se trouve dans le r\u00e9pertoire de\nl\u0027utilisateur root.\n\nIl installe ensuite des outils pour exploiter la vuln\u00e9rabilit\u00e9 d\u0027IIS\nconnue depuis octobre 2000 (sous le nom \"Web Server Folder Traversal\").\n\nIl modifie ensuite le fichier index.html du syst\u00e8me sur lequel il se\ntrouve apr\u00e8s avoir pirat\u00e9 2000 serveurs IIS.\n\nUn syst\u00e8me Solaris compromis par ce ver contient normalement :\n\n-   Une fenetre de commande avec les privil\u00e8ges administrateur en \u00e9coute\n    sur le port 600/tcp ;\n-   le r\u00e9pertoire /dev/cub qui contient des logs de machines pirat\u00e9es ;\n-   le r\u00e9pertoire /dev/cuc qui contient les outils d\u0027attaque.\n\n## Contournement provisoire\n\nVeiller \u00e0 bloquer le trafic \u00e0 destination du port 111/tcp (sunrpc -\nportmapper, n\u00e9cessaire \u00e0 l\u0027exploitation de la faille sadmind).\n\n## Solution\n\nAppliquer les patches correctifs qui se trouvent sur les liens :\n\n-   Pour IIS 4.0 :\n\n        http://www.microsoft.com/ntserver/nts/downloads/critical/q269862/default.asp\n\n-   Pour IIS 5.0 :\n\n        http://www.microsoft.com/windows2000/downloads/critical/q269862/default.asp\n\n-   Pour sadmind :\n\n        http://www.sunsolve.com/pub-cgi/retrieve.pl?doctype=coll\u0026doc=secbull/191\u0026type=0\u0026nav=sec.sba\n\n-   Si la machine est compromise, prendre contact avec le CERTA.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-ALE-007",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-05-09T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission des machines solaris avec sadmind et windows avec iis"
    }
  ],
  "summary": "Un nouveau ver se propage en exploitant des vuln\u00e9rabilit\u00e9s assez\nanciennes de Sun Solaris et de IIS. Celui-ci permet l\u0027obtention de\nprivil\u00e8ges administrateur \u00e0 distance.\n",
  "title": "Propagation d\u0027un ver affectant sadmind et IIS",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "CERT-CC",
      "url": "http://www.cert.org/advisories/CA-2001-11.html"
    }
  ]
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or observed by the user.
Confirmed: The vulnerability has been validated from an analyst's perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
Not confirmed: The user expressed doubt about the validity of the vulnerability.
Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.

Detection rules are retrieved from Rulezet.

Action not permitted