S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 juillet 2012
N° CERTA-2012-ACT-030
Affaire suivie par: CERT-FR
le 27 juillet 2012

Bulletin d'actualité du CERT-FR

Objet: CERTA-2012-ACT-030

Gestion du document

Référence CERTA-2012-ACT-030
Titre CERTA-2012-ACT-030
Date de la première version 27 juillet 2012
Date de la dernière version 27 juillet 2012
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Systèmes industriels et supervision par Internet

Le CERTA a pris contact avec un industriel français qui exposait une interface de supervision de ses systèmes industriels sur l’Internet sans authentification préalable. Bien que cette interface ne permettait, a priori, aucune opération sur le système industriel, l’exploitation d’une vulnérabilité sur celle-ci permettrait à un attaquant de modifier le système industriel.

Afin de limiter les actes de malveillance, il convient de ne pas exposer ces interfaces au public. En cas de réel besoin de supervision par Internet, le CERTA rappelle la nécessité de mettre en place des contrôles d’accès à ces systèmes. Il est notamment recommandé :

  • d’autoriser seulement les accès depuis des adresses IP identifiées ;
  • de mettre en place un système d’authentification adapté (exemple : utilisation d’un mot de passe robuste) ;
  • de dédier un réseau à la surveillance, et n’autoriser son accès depuis l’extérieur que via une passerelle sécurisée (exemple : VPN).

Documentation

2 Dangers liés aux plateformes non officielles de distribution d’applications mobiles

Les systèmes d’exploitation des terminaux mobiles continuent d’être des cibles privilégiées pour les auteurs de codes malveillants. Une application usurpant Skype est apparue récemment sur une plateforme non officielle de distribution d’applications Android. Cette dernière a pour but d’envoyer des SMS vers des numéros surtaxés. D’autres applications similaires existent, elles peuvent se faire passer pour un programme d’installation Flash ou prétendre être des navigateurs Internet.

Le CERTA recommande l’installation d’applications provenant uniquement de plateformes officielles de distribution et seulement quand l’éditeur de l’application peut être vérifié. Lorsque cela est possible, il est également recommandé de vérifier les permissions demandées par l’application ainsi que leur adéquation avec les fonctionnalités annoncées.

3 Alerte de sécurité pour les produits Microsoft Exchange et Fast Search Server 2010

Le 25 juillet 2012, le CERTA a émis une alerte de sécurité concernant les produits Microsoft Exchange et Fast Search Server 2010. Elle affecte plus précisément les bibliothèques Oracle Outside In utilisées par le service de transcodage des documents. Oracle a corrigé cette vulnérabilité lors des mises à jour du mois de juillet. La vulnérabilité peut être provoquée par l’ouverture d’une pièce jointe au moyen de WebReady Document Viewing, un système de pré-visualisation sous Outlook Web Access. Un attaquant peut ainsi exécuter du code arbitraire côté serveur.

Le CERTA recommande de se référer aux avis de sécurité publiés par Microsoft pour limiter les risques liés à cette faille (cf section Documentation).

Documentation

Rappel des avis émis

Dans la période du 16 au 22 juillet 2012, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 27 juillet 2012
    version initiale.