Le produit 'Veritas Backup Exec ' pris pour cible

La semaine dernière, Veritas a publié pas moins de 7 bulletins de sécurité concernant ce produit. Les vulnérabilités découvertes varient du simple déni de service à l’exécution de code arbitraire. Selon les critères de Veritas, cinq de ces failles seraient critiques alors que les deux dernières ne seraient pas si dangereuses?

Les récents défauts de sécurité identifiés au c?ur des solutions Veritas affectent 18 produits de la gamme ‘Backup Exec’ pour Windows et Netware. Les versions ‘Backup Exec 10.0’ pour serveurs Windows révision 5520 ainsi que ‘Backup Exec 9.1’ révision 1156 pour serveurs Netware ne sont pas affectés.

La société IDEFENSE est à l’origine de la publication de quatre de ces failles. Comme il se doit, la société avait initialement contacté Veritas en mars dernier et, d’un commun accord, les deux parties avaient gardé l’information confidentielle jusqu’à la publication du correctif le 22 juin dernier (voir notre article). Moins de deux jours après l’annonce publique des vulnérabilités, un outil permettant d’exploiter le ‘buffer overflow’ de l’agent ‘Veritas Backup Exec’ a été diffusé sur la toile. Depuis, Symantec et l’Internet Storm Center ont détecté un nombre important de requêtes vers le port 10000. Le nombre de connexions sauvages, vers ce port spécifique au produit ‘Veritas Backup Exec’, n’a cessé de croître depuis la publication de l’exploit. Les adresses IP, sources de ces ‘scans’ intempestifs, seraient passées de 0 à 8.000 entre dimanche et lundi dernier. Les analystes de Symantec ont réussi à récupérer une copie de l’exploit en question grâce à l’un de leurs honeypots. Comme souvent, l’exploit utilise différentes techniques de ‘dissimulation’ ou ‘offuscation’ afin de rendre plus difficile l’analyse des ingénieurs qui tentent de comprendre ses mécanismes. De plus, d’après Symantec, l’exploit aurait été ajouté à de multiple ‘bots IRC’ afin d’automatiser les scans et l’exploitation de la vulnérabilité. Symantec recommande de corriger les failles urgentes ou de bloquer le trafic à destination du port TCP 10000. Un des symptômes d’une machine infectée est qu’elle n’écoute plus sur le port 10000 mais que le port 6101 est toujours ouvert. Olivier Devaux pour pour Vulnerabilite.com

Pour en savoir plus

Bulletin de sécurité de Veritas https://seer.support.veritas.com/docs/276604.htm Pour ceux qui souhaiteraient tester la faille, un plugin Metasploit a été publié à cette adresse : https://www.metasploit.org/projects/Framework/modules/exploits/backupexec_agent.pm

Lire aussi : Backup : Acronis ajoute le Disaster Recovery à son Data Cloud