Le produit « Veritas Backup Exec » pris pour cible

Les récents défauts de sécurité identifiés au cœur des solutions Veritas affectent 18 produits de la gamme « Backup Exec » pour Windows et Netware. Les versions « Backup Exec 10.0 » pour serveurs Windows révision 5520 ainsi que « Backup Exec 9.1 » révision 1156 pour serveurs Netware ne sont pas affectés.

La société IDEFENSE est à l'origine de la publication de quatre de ces failles. Comme il se doit, la société avait initialement contacté Veritas en mars dernier et, d'un commun accord, les deux parties avaient gardé l'information confidentielle jusqu’à la publication du correctif le 22 juin dernier.

Moins de deux jours après l’annonce publique des vulnérabilités, un outil permettant d'exploiter le « buffer overflow » de l'agent « Veritas Backup Exec » a été diffusé sur la toile. Depuis, Symantec et l'Internet Storm Center ont détecté un nombre important de requêtes vers le port 10000. Le nombre de connexions sauvages, vers ce port spécifique au produit « Veritas Backup Exec », n'a cessé de croître depuis la publication de l'exploit. Les adresses IP, sources de ces « scans » intempestifs, seraient passées de 0 à 8.000 entre dimanche et lundi dernier.

Les analystes de Symantec ont réussi à récupérer une copie de l'exploit en question grâce à l’un de leurs honeypots. Comme souvent, l'exploit utilise différentes techniques de « dissimulation » ou « offuscation » afin de rendre plus difficile l'analyse des ingénieurs qui tentent de comprendre ses mécanismes. De plus, d’après Symantec, l'exploit aurait été ajouté à de multiple « bots IRC » afin d'automatiser les scans et l'exploitation de la vulnérabilité.

Symantec recommande de corriger les failles urgentes ou de bloquer le trafic à destination du port TCP 10000. Un des symptômes d'une machine infectée est qu'elle n'écoute plus sur le port 10000 mais que le port 6101 est toujours ouvert.