Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-047

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 24 novembre 2006
No CERTA-2006-ACT-047

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-47


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-047

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-047.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-047/

1 Activité en cours

1.1 Attaques sur Joomla!

Le CERTA a été informé d'une recrudescence des attaques sur les composants de Joomla! (Joomla! et Mambo sont des gestionnaires de contenu web très populaires). La méthode d'attaque n'est pas nouvelle, les vulnérabilités de ce type (php include) ayant déjà été massivement recherchées (notamment par des vers) dans le but de réaliser des défigurations. Dans ces récentes attaques, la finalité est différente : il s'agit d'exécuter des commandes (wget, fetch, curl, etc.) dans le but de télécharger puis d'exécuter un robot irc écrit en perl. Les machines ainsi compromises sont transformées en zombis ayant la capacité de réaliser des dénis de service.

Quelques serveurs irc sont utilisés pour le pilotage de ces réseaux de robots. Le CERTA a pu en identifier certains, mais il n'y a aucun doute sur le fait que de nouveaux serveurs vont prochainement être utilisés dans le cadre de ces attaques. Toutefois, toute connexion à destination des domaines suivants peut être douteuse :

  • albapower.by.ru
  • germanos.ma.cx
  • www.yagenoysentoplesen.com
  • ba.yagenoysentoplesen.com
  • netfull.com.ar
  • ole.netfull.com.ar

Recommandations :

Le CERTA recommande de réfléchir à l'utilité réelle des composants pour Joomla! et Mambo, car beaucoup d'entre eux contiennent des vulnérabilités facilement exploitables et pour lesquelles il n'existe pas forcément de correctif. Ce sont ces vulnérabilités qui rendent les attaques réalisables.

Il est aussi possible de mettre en place un filtrage pour empêcher les serveurs web de réaliser des connexions sortantes. Ces mesures de filtrage ne règlent pas le fond du problème (à savoir la présence de vulnérabilités sur le serveur), mais limitent fortement l'impact des compromissions. Dans la plupart des attaques analysées, l'intrus utilise les possibilités de connexions sortantes pour récupérer ses outils.

Enfin, il est suggéré de lire les journaux et de rechercher d'éventuelles connexions vers les machines indiquées précédemment, et de contacter le CERTA en cas de découverte d'une telle activité.

2 Cartes postales électroniques

Un incident récent nous rappelle que l'envoi de carte postale électronique, pas seulement de voeux, est un vecteur de propagation des virus, chevaux de Troie ou autres contenus malveillants.

Il est donc nécessaire, à l'approche des fêtes de fin d'année, de renforcer la vigilance et de sensibiliser les utilisateurs. La note CERTA-2000-REC-002 rappelle quelques précautions à prendre lors de la réception de tels messages.

Les webmestres dont les sites proposent des cartes postales sont fortement invités à vérifier l'intégrité des fichiers qu'ils proposent.

3 Gestion des mots de passe avec les navigateurs

Le gestionnaire de mots de passe de Firefox ne vérifie pas correctement l'adresse à laquelle un formulaire d'authentification renvoie des identifiants. Activé, il peut remplir le formulaire, présenté par un site piégé, mais renvoyant l'identifiant et le mot de passe sur un site malveillant. Les sites où les internautes peuvent ajouter du code HTML (blogs, sites coopératifs) peuvent facilement être détournés à ces fins. Cette vulnérabilité aurait été notamment exploitée sur le site de MySpace. Les autres navigateurs (Netscape, Internet Explorer) peuvent être affectés par cette vulnérabilité.

Recommandations :

Il est déconseillé d'utiliser les gestionnaires de mots de passe des navigateurs. D'autre part, il est suggéré d'utiliser des identifiants différents pour chaque site web proposant un service avec authentification.

4 ActiveX et Internet Explorer

Le CERTA a été informé de nouvelles vulnérabilités liées aux ActiveX sous Microsoft Internet Explorer. Ces failles permettent l'exécution de code arbitraire à distance. Une fois de plus le CERTA recommande de désactiver par défaut l'exécution de tous les contrôles ActiveX pour la navigation sur l'Internet. Les sites de confiance, tels que *.update.microsoft.com, nécessitant l'activation des contrôles ActiveX, peuvent être ajoutés dans la section Sites de confiance. Afin de désactiver l'exécution des contrôles ActiveX sous Microsoft Internet Explorer :

  • aller dans la section Options Internet du menu Outils ;
  • dans l'onglet Sécurité, sélectionner Internet puis Personnaliser le niveau ;
  • sous la section Contrôles ActiveX et plugins sélectionner Désactiver pour l'ensemble des options.

Pour ajouter des sites autorisés à exécuter des contrôles ActiveX sous Microsoft Internet Explorer :

  • aller dans la section Options Internet du menu Outils ;
  • dans l'onglet Sécurité, sélectionner Sites de confiance puis cliquer sur le bouton Sites ;
  • inscrire l'adresse réticulaire du site à ajouter et appuyer sur le bouton Ajouter.

5 Rappel des avis et mises à jour émis

Durant la période du 17 au 23 novembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-504 : Vulnérabilité de WinZip
  • CERTA-2006-AVI-505 : Multiples vulnérabilités dans Citrix Access Gateway
  • CERTA-2006-AVI-506 : Vulnérabilité dans libpng
  • CERTA-2006-AVI-507 : Multiples vulnérabilités dans IBM Websphere
  • CERTA-2006-AVI-508 : Vulnérabilité dans Apple MAc OS X
  • CERTA-2006-AVI-509 : Vulnérabilité dans OpenBSD
  • CERTA-2006-AVI-510 : Vulérabilité dans PHPMyAdmin
  • CERTA-2006-AVI-511 : Vulnérabilité de CA personal Firewall
  • CERTA-2006-AVI-512 : Vulnérabilité dans Kerio WinRoute Firewall
  • CERTA-2006-AVI-513 : Vulnérabilités dans VMware

Pendant cette période, l'avis suivant a été mis à jour :

  • CERTA-2006-AVI-481-001 : Vulnérabilité dans PHP (ajout de la référence du bulletin de sécurité Suse)


Liste des tableaux

Gestion détaillée du document

24 novembre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28