Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-042

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 20 octobre 2006
No CERTA-2006-ACT-042

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-42


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-042

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-042.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-042/

1 Incidents traités

1.1 Considérations sur l'origine de l'intrusion

Le CERTA a traité cette semaine un incident lié à une défiguration. Après analyse, il s'avère que la page a été défigurée, mais le site Web lui-même n'en est pas la cause. L'intrusion est survenue sur un autre site Web, co-hébergé sur la même machine physique. Cet incident est un exemple concret des risques que peut engendrer un co-hébergement. En particulier, certains sites offrent des accès à des zones protégées par des mots de passe. La compromission d'un site co-hébergé permet éventuellement d'accéder de façon frauduleuse à ce type de zones, et ce quelque soit la sécurité de votre site web.

Une note d'information du CERTA peut vous aider à mieux apprécier les risques liés à l'hébergement mutualisé :

http://www.certa.ssi.gouv.fr/CERTA-2005-INF-005/

1.2 Sur l'importance des mots de passe

Un de nos correspondants a constaté avoir subi une attaque en « force brute » sur son proxy web (port 8080/tcp). De nombreux noms de compte différents ont été testés, sans succès. Ces attaques sont similaires à celles affectant SSH. D'une manière générale, il est possible que tous les services s'appuyant sur une authentification (SSH, FTP, proxy web, mais aussi POP3 et quelques accès HTTP) fassent l'objet de ce type d'attaques faciles à automatiser. Il est fortement recommandé de veiller à l'utilisation de mots de passe forts. La note d'information suivante aborde ce problème :

http://www.certa.ssi.gouv.fr/CERTA-2005-INF-001/

2 Les défigurations de site

Les défigurations peuvent servir de tribune pour des revendications à caractère politique ou social. Dans un contexte politique bien précis, ces attaques peuvent cibler n'importe quel site web. Récemment, on a pu ainsi voir des serveurs web français défigurés avec un message en référence à la loi relative à la répression de la négation du génocide arménien.

Les auteurs de ces attaques utilisent généralement des failles bien connues afin de compromettre les sites web et d'y déposer leur message. Ces failles sont toujours du même type : soit un problème de droits en écriture qui ont été laissés, soit un applicatif web mal programmé qui permet l'importation et l'exécution de fichiers externes au serveur. On remarque par ailleurs que les applicatifs web attaqués sont souvent déployés par les webmestres alors qu'ils ne sont pas utilisés.

Il est donc important de bien mettre à jour ses applications et de réfléchir au déploiement des modules optionnels.

3 Problèmes liés aux pilotes Bluetooth

Bluetooth est une technologie sans-fil, définie par les standards IEEE 802.15.X. Elle est employée dans le cadre de communications à petite distance (de l'ordre de quelques mètres). Cela inclut les synchronisations avec des assistants personnels électroniques (PDA), les périphériques de type souris, clavier, voire même les enceintes.

Plusieurs vulnérabilités ont été identifiées ces derniers mois dans certains pilotes Bluetooth fonctionnant sous Microsoft Windows. Une personne malveillante peut construire des paquets particuliers. Cela est facilité par l'existence de documents très détaillés et disponibles sur l'Internet. En émettant de tels paquets exploitant cette vulnérabilité, il lui serait possible d'exécuter des commandes arbitraires sur la machine possédant ces pilotes vulnérables. Une limitation de ces attaques repose sur le fait que le Bluetooth a une petite portée. Ceci est vrai pour des périphériques standards. Il existe cependant dans le commerce des moyens pour augmenter la distance d'intéraction à une centaine de mètres (clées USB bluetooth particulières, antennes directionnelles, etc).

Le bluetooth doit donc être considéré comme une porte d'entrée potentielle et dangereuse sur une machine ou un réseau, de la même façon qu'il faut prendre de grandes précautions avec la technologie Wi-Fi.

Recommandations :

Dans ces conditions, le CERTA recommande :

  • de limiter les appareils Bluetooth, surtout si ceux-ci interagissent avec des machines sensibles ou intégrées à un réseau. C'est une porte d'entrée bien plus facile que celle qui consisterait à tromper le pare-feu du réseau ;
  • de vérifier que le matériel Bluetooth des périphériques et des ordinateurs mobiles reste désactivé s'il n'est pas utilisé. Une désactivation physique est toujours préférable.

4 Problème avec Internet Explorer 7

Une vulnérabilité affectant le navigateur Internet Explorer 7 a été rendue publique. Cette faille affectait déjà la version Internet Explorer 6. Sur une version d'Internet Explorer 7 installée par défaut, et avec un Windows XP SP2 à jour, la vulnérabilité permet de récupérer des informations d'un autre site dans le contexte de l'utilisateur. Le danger provient encore d'un contrôle ActiveX (Msxml2.XMLHTTP). La sortie d'Internet Explorer 7 ne change rien aux risques liés à l'usage de ces composants. Il est donc à nouveau fortement recommandé de désactiver l'utilisation de ces composants. Le CERTA publiera prochainement une note d'information à ce sujet.

5 Rappel des avis et mises à jour émis

Durant la période du 13 au 19 octobre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-453 : Vulnérabilité de OpenSSH
  • CERTA-2006-AVI-454 : Vulnérabilités dans Clam Antivirus
  • CERTA-2006-AVI-455 : Vulnérabilité du module mod_tcl de Apache
  • CERTA-2006-AVI-456 : Vulnérabilité dans Opera

Pendant cette période, l'avis suivant a été mis à jour :

  • CERTA-2006-AVI-454-001 : Vulnérabilités dans Clam Antivirus

    (ajout du bulletin de sécurité FreeBSD)


Liste des tableaux

Gestion détaillée du document

20 octobre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-08-17