Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-048

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 01 décembre 2006
No CERTA-2006-ACT-048

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-48


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-048

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-048.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-048/

1 Activité en cours

1.1 Défiguration

Cette semaine, le CERTA a traité un cas de défiguration faisant suite à l'exploitation de droits permissifs sur la requête PUT. Les auteurs de ces défigurations recherchent souvent les extensions WebDAV en essayant quelques requêtes telles que PROPFIND sur les serveurs.

Microsoft donne une méthode pour désactiver WebDAV :

http://support.microsoft.com/kb/241520/

Sous IIS, il existe également un outil fourni par Microsoft permettant de gérer des droits sur les méthodes. Cet outil est disponible à l'adresse :

http://www.microsoft.com/technet/security/tools/locktool.mspx

1.2 Les outils de découverte topologique du réseau

Le CERTA a traité cette semaine un incident, et a trouvé sur la machine analysée un outil de découverte de réseau. De telles applications se proposent de découvrir automatiquement la topologie du réseau, en balayant les plages adresses voisines, ainsi qu'en interrogeant certains services. Ces outils peuvent être installés aussi bien par l'administrateur que par un intrus cherchant à récupérer de l'information concernant le réseau de la machine qu'il vient de compromettre. Ils permettent d'obtenir des informations délicates, qui doivent rester confidentielles.

L'utilisation de ces outils doit susciter plusieurs questions :

  • l'outil est-il de confiance ? Dans le cas traité cette semaine, il s'agissait d'un outil d'origine méconnue. Il faut envisager que ce dernier, aussi performant soit-il, puisse communiquer les informations obtenues vers un site externe ;
  • l'outil conserve-t-il les informations localement ? Comme plusieurs applications, ces outils gardent souvent un historique des topologies effectuées. Si l'application n'est pas installée sur une machine dédiée, ou n'est pas proprement configurée, des informations résiduelles peuvent subsister sur le système ;
  • l'outil ne perturbe-t-il pas son environnement ? Ces applications ont un comportement actif (envoi de paquets et de requêtes), voire agressif, qui peuvent produire beaucoup de bruits dans les journaux ou provoquer de fausses alertes par les outils de détection et de surveillance (et donc, a fortiori, de dissimuler d'autres activités moins légitimes).

De manière générale, il est toujours regrettable que des outils de sécurité augmentent les risques. Il vaut mieux éviter de tester ces derniers à un moment critique (incident). Dans le doute, prenez contact avec le CERTA qui vous conseillera en cas d'incident.

2 Interface Google Search

Le CERTA informe ses correspondants qu'une vulnérabilité de type « cross site scripting », est apparue sur les sites web utilisant l'interface "Google Search Appliance". Cette vulnérabilité permettrait aussi d'injecter des données sur le site vulnérable.

Le risque est limité dans la mesure où il est nécessaire de saisir une requête spéciale, encodée en UTF-7, dans le moteur de recherche du site vulnérable. Ce standard n'est pas très commun, mais peut être accepté par défaut dans certaines applications comme les serveurs Web.

Cette attaque permet, sous certaines conditions, de contourner les filtres mis en place pour valider les requêtes adressées au moteur de recherche.

Cette vulnérabilité, largement documentée sur le Web, peut être corrigée en effectuant un contrôle sémantique des requêtes, et en vérifiant que l'encodage UTF-7 ne soit pas accepté par le serveur Web.

3 Gestionnaire de mots de passe dans un navigateur

Une vulnérabilité de Firefox a été dévoilée le 21 novembre 2006. Nous l'avions déjà évoqué dans le bulletin d'actualité CERTA-2006-ACT-047. Elle repose sur une vérification insuffisante de l'adresse (URL) d'un formulaire d'authentification qui demande un identifiant et un mot de passe. Le site de destination de ces données confidentielles peut être autre que le site qui a présenté le formulaire. Si le gestionnaire de mot de passe est activé, alors le navigateur va remplir les champs et dévoiler ces données d'authentification à un destinataire qui n'est pas le site qui a présenté le formulaire.

Cette vulnérabilité ne se limite pas à Firefox. Elle concerne également les navigateurs Internet Explorer, versions 6 et 7, et Safari.

Recommandations :

Les bonnes pratiques consistent à ne pas utiliser les gestionnaires de mots de passe des navigateurs. Les utilisateurs qui ont déjà enregistré des mots de passe dans leur navigateur doivent, d'une part, désactiver le gestionnaire de mot de passe et, d'autre part, effacer les mots de passe déjà enregistrés.

Les gestionnaire de sites web, en particulier les sites sur lesquels les internautes peuvent déposer des contributions, doivent vérifier qu'aucun attaquant ne va utiliser cette fonction de dépôt pour inclure du code HTML piégeant le site et permettant d'explioiter la vulnérabilité des navigateurs.

4 Joomla!

Suite au bulletin d'actualité CERTA-2006-ACT-047, le CERTA a eu plusieurs remontées d'informations concernant des intrusions dans des serveurs Joomla! par l'exploitation d'une faille de ext_calendar. Ces remontées nous ont permis d'établir que les serveurs ainsi compromis étaient intensivement utilisés (au point d'être indisponibles) pour réaliser des dénis de service. Ces intrusions se sont manifestées par des connexions aux serveurs suivants :

  • blog156448.123-reg-blogs.co.uk
  • Bucharest.RO.EU.Ultra-Chat.Org
  • seks.irctr.net
  • linux.1rcd.net
  • 194.145.200.200

Il est conseillé de vérifier que tout trafic à destination de ces serveurs est légitime et d'en informer le CERTA.

5 Rappel des avis et mises à jour émis

Durant la période du 24 au 30 novembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-514 : Vulnérabilité de GNU Radius
  • CERTA-2006-AVI-515 : Vulnérabilité dans Symantec NetBackup PureDisk
  • CERTA-2006-AVI-516 : Vulnérabilité de GNU tar
  • CERTA-2006-AVI-517 : Multiples vulnérabilités dans Apple Mac OS X


Liste des tableaux

Gestion détaillée du document

01 décembre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23