Les récents défauts de sécurité identifiés au c?ur des solutions Veritas affectent 18 produits de la gamme ‘Backup Exec’ pour Windows et Netware. Les versions ‘Backup Exec 10.0’ pour serveurs Windows révision 5520 ainsi que ‘Backup Exec 9.1’ révision 1156 pour serveurs Netware ne sont pas affectés.
La société IDEFENSE est à l’origine de la publication de quatre de ces failles. Comme il se doit, la société avait initialement contacté Veritas en mars dernier et, d’un commun accord, les deux parties avaient gardé l’information confidentielle jusqu’à la publication du correctif le 22 juin dernier (voir notre article). Moins de deux jours après l’annonce publique des vulnérabilités, un outil permettant d’exploiter le ‘buffer overflow’ de l’agent ‘Veritas Backup Exec’ a été diffusé sur la toile. Depuis, Symantec et l’Internet Storm Center ont détecté un nombre important de requêtes vers le port 10000. Le nombre de connexions sauvages, vers ce port spécifique au produit ‘Veritas Backup Exec’, n’a cessé de croître depuis la publication de l’exploit. Les adresses IP, sources de ces ‘scans’ intempestifs, seraient passées de 0 à 8.000 entre dimanche et lundi dernier. Les analystes de Symantec ont réussi à récupérer une copie de l’exploit en question grâce à l’un de leurs honeypots. Comme souvent, l’exploit utilise différentes techniques de ‘dissimulation’ ou ‘offuscation’ afin de rendre plus difficile l’analyse des ingénieurs qui tentent de comprendre ses mécanismes. De plus, d’après Symantec, l’exploit aurait été ajouté à de multiple ‘bots IRC’ afin d’automatiser les scans et l’exploitation de la vulnérabilité. Symantec recommande de corriger les failles urgentes ou de bloquer le trafic à destination du port TCP 10000. Un des symptômes d’une machine infectée est qu’elle n’écoute plus sur le port 10000 mais que le port 6101 est toujours ouvert. Olivier Devaux pour pour Vulnerabilite.com
Pour en savoir plus
Bulletin de sécurité de Veritas https://seer.support.veritas.com/docs/276604.htm Pour ceux qui souhaiteraient tester la faille, un plugin Metasploit a été publié à cette adresse : https://www.metasploit.org/projects/Framework/modules/exploits/backupexec_agent.pm
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…