==========================================================

         Bulletin d'information du CERT RENATER

===========================================================

Bonjour,


Une campagne d'attaque ciblant des serveurs SMTP vulnérables
à la faille de sécurité Bash (Shellshock) serait actuellement
en cours. L'objectif serait d'intégrer les serveurs vulnérables
à un réseau de botnet par l'intermédiaire d'un bot IRC écrit
en PERL qui serait déposé et installé sur les victimes au
cours de l'attaque.

La charge d'attaque est dissimulée dans des champs d'entête
de courriers électroniques spécialement formatés (To, From,
CC, Subject, Date, Comments, Keywords, Resent-Date, Resent-From,
Message-ID et possiblement d'autres...).

Les méthodes curl, wget, fetch sont invoquées pour aller récupérer
le bot IRC sur l'adresse 178.254.31.165 et ensuite le fichier
téléchargé est exécuté (voir les articles pointés en référence
à la fin du bulletin pour obtenir la trace d'attaque).

On ne trouve pas d'information pour l'instant sur la porte
d'entrée recherchée par les attaquants, c'est à dire le type
de serveur SMTP sur lequel ce type d'attaque
pourrait fonctionner.

Des tentatives d'attaques similaires nous ont été signalées en France.

Les attaquants cherchent en ce moment tous les moyens possibles
d'exploiter la faille de sécurité Shellshock pour pénétrer
systèmes et réseaux.

Il est très important de mettre à jour tous les systèmes
qui utilisent l'interpréteur de commandes bash dans votre périmètre
pour se protéger des vagues d'attaques à venir.


Références:

Shellshock via SMTP
https://isc.sans.edu/diary/Shellshock+via+SMTP/18879

Active Shellshock SMTP Botnet Campaign
https://www.binarydefense.com/bds/active-shellshock-smtp-botnet-campaign/

Shellshock Exploits Targeting SMTP Servers at Webhosts
http://threatpost.com/shellshock-exploits-targeting-smtp-servers-at-webhosts/109034


Shellshock over SMTP attacks mean you can now ignore your email
http://www.theregister.co.uk/2014/10/28/shellshocked_via_email_smtp_attacks_on_the_rise/


Cordialement,

=========================================================
+ CERT-RENATER         | tel : 01-53-94-20-44           +
+ 23/25 Rue Daviel     | fax : 01-53-94-20-41           +
+ 75013 Paris          | email:cert@support.renater.fr  +
=========================================================