1 De l’utilité des dates dans l’historique du shell
Cette semaine, le CERTA a traité un incident ayant eu lieu sur un serveur Linux. L’analyse des traces a été grandement facilitée par un élément de configuration du serveur qui permet d’associer une date à chaque action de l’historique du shell. L’administrateur avait mis en place la variable d’environnement HISTTIMEFORMAT de l’interpréteur de commandes bash.
Le CERTA a donc pu tracer beaucoup plus facilement les actions réalisées par l’intrus sur le système.
Le CERTA recommande de mettre en place cette option à l’installation du système. C’est une mesure qui peut se révéler inestimable pour savoir ce qu’il s’est passé, notamment en cas de problème de sécurité sur la machine.
2 Vulnérabilité dans Ubuntu
Cette semaine, le CERTA a publié l’avis CERTA-2010-AVI-304 relatif à une vulnérabilité spécifique à la version d’un module PAM (Pluggable Authentication Modules) présent dans les versions 9.10 et 10.04 de la distribution GNU/Linux Ubuntu. Cette vulnérabilité permet à un utilisateur disposant d’un compte sur le système vulnérable d’élever ses privilèges.
Le côté inhabituel de cette faille réside dans le fait qu’elle ne nécessite pas d’outils spécifiques exploitant tel pointeur nul ou tel autre débordement de mémoire. L’attaquant a uniquement et simplement à profiter d’un manque de contrôles de la part d’un module PAM lui permettant de façon triviale de passer administrateur de la machine. Il lui suffit de disposer d’un accès quelconque sur le système (par exemple local, ou encore via SSH ou telnet), l’exploitation se faisant à la connexion.
En outre, il est à noter que, au niveau des journaux système, la seule trace sera une authentification réussie de la part d’un utilisateur légitime !
Le CERTA invite donc fortement les utilisateurs des versions Ubuntu 9.10 et 10.04 à mettre à jour leur système dans les plus brefs délais en appliquant le correctif décrit dans le bulletin de sécurité USN-959-1.
Documentation :
- Avis CERTA-2010-AVI-304 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-304/
3 Annonce d’un réseau de smartphones zombis
Un article, largement relayé sur l’Internet, annonce la decouverte d’un réseau de 100 000 smartphones zombis. L’origine de cette annonce étant une société commercialisant une solution antivirus pour téléphones mobiles, sa véracité, ou tout du moins son ampleur, sont à prendre avec du recul. Selon la description faite du logiciel, le code se propagerait en envoyant des SMS contenant une adresse pointant sur un programme malveillant au nom attrayant et d’actualité, et cela à tous les contacts du répertoire et à d’autres numéros aléatoires. Il semble donc que l’infection du terminal mobile nécessite une action de la part de la victime.
Si cette annonce semble un peu trop orientée pour être complétement crédible, le risque d’infection des terminaux mobiles est réel. Il s’agit de machines autonomes connectées, communiquantes et rarement mises à jour. Ces SmartPhones contiennent de plus en plus fréquemment des documents de travail et autres informations sensibles. Ils peuvent même être utilisés comme micro d’ambiance. Ils sont encore à la frontière du personnel et du professionnel et n’apparaissent pas souvent dans les PSSI malgré les risques qu’ils entrainent. Les risques qu’ils soient touchés et que cela ait un impact sur la sécurité locale sont bien réels et ne doivent donc pas être ignorés.
Encore une fois, le CERTA recommande pour l’utilisation de ces terminaux mobiles d’appliquer les mêmes bonnes pratiques que pour un ordinateur portable classique. À savoir, entre autres :
- appliquer les correctifs de sécurité ;
- maîtriser les informations stockées dessus ;
- ne pas accepter de documents (par messagerie électronique, SMS, Bluetooth, …) non attendus ;
- n’activer les interfaces de communication qu’au besoin (WiFi, Bluetooth, …) ;
- ne pas le laisser sans surveillance ;
- vérifier les journaux locaux (appels, SMS, …) et les factures ;
- et surtout en avoir une utilisation réfléchie et conforme avec la PSSI.
Rappel des avis émis
Dans la période du 28 juin au 04 juillet 2010, le CERT-FR a émis les publications suivantes :
- CERTA-2010-AVI-290-001 : Vulnérabiltés dans Bugzilla
- CERTA-2010-AVI-291-004 : Multiples vulnérabilités dans libpng
- CERTA-2010-AVI-292-001 : Vulnérabilités dans Cisco ASA
- CERTA-2010-AVI-293 : Multiples vulnérabilités dans VMware ESX Server
- CERTA-2010-AVI-294 : Vulnérabilité de MySQL
- CERTA-2010-AVI-295-001 : Vulnérabilité dans Citrix XenServer
- CERTA-2010-AVI-296 : Multiples vulnérabilités dans Adobe Reader et Adobe Acrobat
- CERTA-2010-AVI-297-001 : Vulnérabilités sur OpenVMS
- CERTA-2010-AVI-298 : Vulnérabilités dans Opera
- CERTA-2010-AVI-299 : Vulnérabilité de sudo
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2010-ALE-007-002 : Vulnérabilité Shockwave Flash pour les produits Adobe
- CERTA-2010-AVI-260-002 : Vulnérabilités dans Wireshark
- CERTA-2010-AVI-262-001 : Vulnérabilités dans LibTIFF
- CERTA-2010-AVI-278-001 : Vulnérabilités dans Moodle
- CERTA-2010-AVI-281-001 : Vulnérabilités dans LibTIFF
