1 Rootkit SSHD

Depuis quelques semaines, le CERTA constate qu’un « rootkit », affectant le service SSH, est largement utilisé sur des serveurs compromis.

Les attaquants, ayant préalablement obtenu les droits d’administrateur, modifient la bibliothèque «libkeyutils» utilisée par le service SSH en la remplaçant par une version malveillante (libkeyutils.so.1.9). Cette dernière modifie les fonctions d’authentification du service SSH afin d’enregistrer les identifiants et mots de passe des utilisateurs qui se connectent en SSH. Les informations d’authentification ainsi récoltées sont ensuite envoyées à l’attaquant sur un nom de domaine généré dynamiquement. Dans le cas où ce domaine est injoignable les informations sont alors envoyées sur une adresse IP fixe.

Afin de révéler une éventuelle compromission, il est nécessaire de vérifier l’intégrité de la bibliothèque « libkeyutils ». Cela peut se faire grâce à des commandes comme « rpm -qf » ou « debsums » selon la distribution de linux concernée.

Il est important de noter que le vecteur initial d’infection de ces serveurs n’est pas encore connu à ce jour. Dans le cas d’une compromission par ce rootkit, le CERTA recommande de réinstaller le serveur ainsi que de changer les mots de passe des utilisateurs qui se sont authentifiés sur celui-ci.

De manière préventive, il est nécessaire de :

  • recourir à de l’authentification forte pour le service SSH (mots de passe + clé privée) ;
  • mettre en place une liste blanche d’adresses IP autorisées à se connecter en SSH ;
  • interdire l’accès root en SSH.

Documentation

2 Compromission massive d’équipements connectés à Internet

Un chercheur en sécurité informatique a récemment publié les résultats d’un balayage exhaustif d’Internet.

Pour réaliser cette opération gourmande en ressources, il s’est appuyé sur un réseau de machines et d’équipements tiers qu’il a pu compromettre à cause de comptes protégés par des mots de passe trop faibles.

Lors d’un premier balayage, il a été en mesure d’identifier plusieurs centaines de milliers d’équipements ayant un accès telnet ou ssh ouvert à tous, et qui acceptaient un mot de passe trivial pour le compte administrateur. Il a ensuite installé sur ces machines compromises une infrastructure distribuée capable de tester très rapidement l’ensemble des adresses IP existantes, afin d’établir une cartographie détaillée d’Internet.

Lors de ses investigations, le chercheur a rencontré d’autres programmes manifestement malveillants sur certains des équipements qu’il utilisait, vraisemblablement compromis de la même manière. Il note également la présence en grand nombre de systèmes de contrôle industriel vulnérables, et potentiellement critiques.

Le CERTA profite de cette illustration pour renouveler ses appels à la prudence lors de l’installation d’équipements connectés à Internet. Les actions effectuées par ce chercheur sont illégales, mais le détournement d’équipements vous appartenant pourrait engager votre responsablité juridique si une négligence dans leur protection pouvait être démontrée.

Afin de pallier ces vulnérabilités, il convient de désactiver les accès d’administration sur les interfaces publiques, ou d’en restreindre l’accès via un pare-feu. Il est également primordial de systématiquement changer les mots de passe par défaut et d’utiliser des mots de passe forts.

Documentation

3 Mise à jour sur iOS

Cette semaine, Apple a publié une mise à jour de son système d’exploitation iOS. Plusieurs vulnérabilités corrigées permettent de débloquer (« jailbreaker ») les périphériques Apple ou de contourner l’écran de verrouillage.

À noter que, pour mener à bien ce « jailbreak », un accès physique est nécessaire et qu’il ne peut donc être réalisé à distance. Le CERTA rappelle que l’utilisation de ce type de déblocage permet de désactiver l’ensemble des protections de sécurité mises en place par Apple, ce qui augmente significativement leur surface d’attaque et expose le reste du système d’information.

Le CERTA recommande de déployer cette mise à jour dès que possible sur les terminaux concernés.

Documentation

Rappel des avis émis

Dans la période du 11 au 17 mars 2013, le CERT-FR a émis les publications suivantes :