la société américaine eEye vient de publier une alerte à propos d'un nouveau ver nommé "Big Yellow" et ciblant la vulnérabilité (Ref. Lexsi 7055) des produits Symantec Anti Virus et Client Security.

La vulnérabilité est exploitable uniquement par le biais de l'envoi de paquets malicieux sur le port de l'interface d'administration à distance, soit le port TCP 2967, souvent activé sur les produits Symantec dans le cadre d'une administration d'entreprise (clients et serveurs).

Une fois exécuté, le ver cherche à récupérer un malware à l'emplacement suivant : ftp://[removeme]ftpd.3322.org:21211/NL.eXe, via une connexion FTP nécessitant un login et un mot de passe.

Nous vous conseillons donc de vérifier que le port 2967 est bien filtré au niveau des passerelles, de contrôler l'existence de tentatives d'accès sur le pare-feu ou le Proxy Web vers l'adresse actuelle de téléchargement du malware, et de déployer le correctif fourni par Symantec et disponible depuis le 12 Juin 2006.

***

An alert has just been published by the eEye company about a new worm called "Big Yellow" which is using the Symantec Anti Virus and Client Security vulnerability (Ref. Lexsi 7055).

The vulnerability may be exploited by sending malicious packets to the remote management interface on TCP port 2967, which is typically enabled in enterprise settings (clients and servers).

When executed, the worm try to download a malware from ftp://[removeme]ftpd.3322.org:21211/NL.eXe, using an FTP access protected by a login and password.

We advice to control if the port 2967 is well filtered at gateways, to check firewall or Web proxy logs about access to the current malware URL, and to install the security patch from Symantec, available since 12 June 2006.