1 Exploitation de vulnérabilités d’équipements réseau

1.1 Attaque et conséquences

Cette semaine, le CERTA a été avisé de l’exploitation active d’un double défaut de configuration de boitier ADSL (box) d’une gamme particulière.

Quand l’attaquant parvient à exploiter ces vulnérabilités, il devient capable de modifier la configuration réseau de l’équipement. Dans les nombreux cas observés par l’opérateur, les DNS primaire et secondaire inscrits dans l’équipement étaient modifiés. L’utilisateur abonné de l’opérateur n’interrogeait plus les DNS de son opérateur, mais les serveurs frauduleusement mis dans la configuration.

L’impact de cette simple modification n’est pas négligeable. Dès que le DNS auquel l’utilisateur s’adresse, sans le savoir, est malveillant, beaucoup de manipulations sont possibles de la part des attaquants :

  • analyse du trafic de l’utilisateur ;
  • capture de données personnelles, d’informations de connexion ou de données bancaires ;
  • détournement des courriels ;
  • déroutement vers des sites Web injectant des programmes malveillants ;
  • etc.

Pour mémoire, la modification de la configuration DNS dans les ordinateurs eux-mêmes est la méthode utilisée par la famille de programmes malveillants appelés justement DNSChanger, répandus dès 2007.

1.2 Recommandations

Pour ces équipements, le CERTA recommande une configuration basée sur le principe de défense en profondeur, même si les modalités de déploiement sont particulières pour cette gamme d’équipements :
  • maintien à jour des systèmes d’exploitation des logiciels et des greffons ;
  • suppression des services inutiles (désactivation, voire désinstallation) ;
  • restriction d’accès sur les différentes interfaces réseau ;
  • utilisation de mots de passe robustes et, chaque fois que cela est possible, à durée de vie limitée ;
  • journalisation des évènements, dont les changements de modification, et analyse de ces journaux ;
  • contrôles réguliers, par exemple confrontation périodique de la configuration implantée et de la configuration théorique.

2 Service Pack 1 pour Windows 7 et Windows Server 2008 R2

Depuis peu, un premier service pack est disponible pour Windows 7 et Windows 2008 R2. Celui-ci est publié sur le site de Microsoft mais aussi dans Windows Update.

Le service pack 1 n’apporte pas de fonctionnalité majeure mais un grand nombre de correctifs. Ainsi, il comporte 39 mises à jour de sécurité et plus de 750 hotfixes. Ces derniers ne sont en général pas téléchargés automatiquement et apportent des améliorations de performance et/ou de stabilité. La liste complète est disponible sur le site de l’éditeur.

Parmi les nouveautés, Microsoft annonce surtout quelques nouvelles fonctionnalités pour Windows Server 2008 R2 (allocation dynamique de mémoire pour Hyper-V, RemoteFX, améliorations de DirectAccess, etc.).

Le CERTA recommande la plus grande prudence pour l’installation du service pack 1, cela pouvant en effet causer des effets de bord. Il est recommandé d’attendre quelques jours voire semaines et de procéder à une recette avant de le déployer massivement sur un parc entier d’ordinateurs ou sur un système critique.

Documentation

3 Vulnérabilité du noyau Linux

Cette semaine, deux CVE relatifs à  des vulnérabilités dans le noyau Linux ont été publiés : CVE-2011-1011 et CVE-2011-1012. Le premier concerne une vulnérabilité liée au support des partitions de type MAC que l’on trouve de façon très classique avec les systèmes de type Mac OS X. Un utilisateur malintentionné peut causer un arrêt inopiné du système par le biais de l’insertion d’un support de données (disque du ou une clef USB) présentant une table de partitions MAC particulière. La seconde vulnérabilité, quant à  elle, est relative au support des partitions de type Microsoft Logical Volume Manager (LDM) et permet à  un utilisateur malintentionné de provoquer un arrêt inopiné du système, ou bien encore d’élever ses privilèges (accès au système sans authentification) en insérant sur la machine vulnérable un support de données présentant une table de partitions LDM particulière.

Recommandation :

En attendant que des correctifs soient proposés dans les noyaux des distributions GNU/Linux ou dans les sources du noyau standard (http://kernel.org), il est recommandé de ne pas insérer de support amovible utilisant ces types de partionnement. Il est aussi possible de recompiler les sources pour obtenir un noyau ne disposant pas du support pour ces partionnements.

4 Prise en compte d’IPv6 dans Debian Squeeze

Dans la dernière version stable de la distribution GNU/Linux Debian, l’intégration du protocole IPv6 ne se présente plus, comme dans les anciennes versions de Debian sous la forme de modules du noyau. En effet, la mise en œuvre d’IPv6 est maintenant incluse dans le noyau directement. Il n’est donc plus possible de décharger le ou les modules ad-hoc pour désactiver le support du protocole.

Dans la plupart des cas, IPv6, bien que présent, n’est pas utilisé et augmente de façon inutile la surface d’attaque du système (cf. http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/index.html. Il conviendra donc de le désactiver soit en recompilant un noyau sans le support de IPv6 soit par le biais de contrôles système particuliers (sysctl) en positionnant dans le fichier /etc/sysctl.conf les variables suivantes :

# d�sactivation du support pour les interfaces actuelles
net.ipv6.conf.all.disable_ipv6 = 1        

# d�sactivation du support de l’autoconfiguration net.ipv6.conf.all.autoconf = 0

# d�sactivation du support par d�faut pour les nouvelles interfaces net.ipv6.conf.default.disable_ipv6 = 1

# d�sactivation du support pour l’interface de bouclage net.ipv6.conf.lo.disable_ipv6 = 1

Il est à noter que le fait de positionner ces variables dans le fichier ne suffit pas. Il faudra, soit, de façon cavalière, redémarrer la machine soit, de façon plus intelligente, utiliser la commande sysctl comme suit :

sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.all.autoconf=0
sysctl -w net.ipv6.conf.default.disable_ipv6=1
sysctl -w net.ipv6.conf.lo.disable_ipv6=1

Rappel des avis émis

Dans la période du 14 au 20 février 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :