Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-008

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 23 février 2007
No CERTA-2007-ACT-008

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-08


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-008

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-008.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-008/

1 Activités en cours

1.1 Problème lié à l'hébergement mutualisé

Le CERTA a traité deux incidents concernant des cas de défigurations. Dans la première d'entre elles, il s'agissait d'un simple fichier index.html modifié ou écrasé qui empêchait une redirection vers le bon site. Après lecture des journaux du système affecté, il a été impossible de déterminer la nature de l'attaque. Dans la seconde compromission, l'auteur de la défiguration a utilisé une vulnérabilité de type « inclusion php » présente dans un gestionnaire de contenu Joomla! vulnérable. Dans ce cas, il a été possible d'identifier le type d'attaque en exploitant les journaux du système. Or, après analyse, ces deux incidents n'en faisaient qu'un. En effet, les deux sites se trouvaient sur la même machine en hébergement mutualisé. Le CERTA a donc pu déterminer que le point d'entrée sur la machine fut le site Joomla! vulnérable, depuis lequel le pirate s'attaqua aux autres sites présents sur la machine. On parle dans ce cas d'une défiguration en masse.

Recommandations:

Le CERTA vous recommande de vous reporter à la note d'information CERTA-2005-INF-005 concernant l'hébergement mutualisé et les risques inhérents à ce type de solutions.

1.2 Règle de filtrage pour les serveurs

Il est d'usage que les pare-feux laissent passer les connexions HTTP (port 80) sortantes sans restriction et qu'un proxy soit chargé de limiter ces connexions à certaines adresses réticulaires (URL). Ce filtrage est souvent appliqué aux connexions issues des postes de travail. Il doit l'être également aux serveurs, même en zone publique (DMZ). Lors du traitement récent d'un incident, le CERTA a constaté qu'un serveur en zone publique s'est trouvé compromis. Le manque de filtrage des connexions vers l'Internet initiées par ce serveur a permis l'utilisation frauduleuse du serveur pour participer à un déni de service.

Recommandations:

Le CERTA recommande la mise en oeuvre d'un politique contrôlant les « rebonds ». Dans ce cadre, il convient :

  • d'appliquer un filtrage pour les connexions des serveurs vers l'Internet, même sur les protocoles classiquement autorisés (HTTP, FTP, SMTP) ;
  • de mettre en place un filtrage adapté à ces serveurs.

1.3 La configuration des services de messagerie

Cette semaine le CERTA a reçu des appels concernant des incidents de messagerie. En effet durant les périodes de congés il est fréquent de constater que des utilisateurs mettent en place des réponses automatiques voir des redirections de courrier de leur messagerie professionnelle vers leur messagerie personnelle. Mal configurées, ces fonctionnalités peuvent devenir la source d'importante nuisances, comme par exemple des courriels qui transitent en boucle infinie entre la messagerie de l'utilisateur et une liste de diffusion, des réponses automatiques qui remplissent une boîte aux lettres électronique ou encore la sortie d'information confidentielle relayée vers une boîte aux lettres externe.

Recommandations:

Il est préférable d'éviter de paramétrer un message d'absence ou une réponse automatique pour les courriels venant de l'extérieur et d'interdire la redirection de messages vers des boîtes aux lettres externes ou personnelles.

1.4 Vulnérabilités dans Firefox

Ces derniers jours, plusieurs vulnérabilités ont été publiées sur l'Internet ou dans des listes de diffusion touchant principalement le navigateur Firefox. Internet Explorer 7 pourrait être concerné également par certaines d'entre elles. Pour le moment, le CERTA n'a pas publié sur le sujet autrement que par le biais de ce bulletin, car l'exploitation de ces vulnérabilités ne peut conduire à une compromission sérieuse de l'intégrité d'un système. Tout au plus, l'exploitation de ces vulnérabilités pourrait être intégrée dans un processus d'attaque (comme du phishing, par exemple), ce qui reste néanmoins hypothétique. Certaines de ces vulnérabilités sont examinées en ce moment par les éditeurs afin de les qualifier, dans un premier temps, puis d'apporter d'eventuels correctifs.

Recommandations:

Le CERTA recommande de naviguer sur l'Internet avec la plus grande prudence, en ne consultant dans la mesure du possible que des sites de confiance, et en n'autorisant l'activation du contenu dynamique (ActiveX, Javascript, Java) qu'en cas d'extrême nécessité.


2 Rappel des avis émis

Durant la période du 16 au 23 février 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-087 : Vulnérabilité dans la mise en oeuvre du protocole TCP sous Sun Solaris
  • CERTA-2007-AVI-088 : Vulnérabilité de HP-UX SLS
  • CERTA-2007-AVI-089 : Multiples vulnérabilités du module IPS de Cisco IOS
  • CERTA-2007-AVI-090 : Multiples vulnérabilités de produits Cisco
  • CERTA-2007-AVI-091 : Multiples vulnérabilités dans Apple iChat
  • CERTA-2007-AVI-092 : Vulnérabilité dans Apple UserNotification
  • CERTA-2007-AVI-094 : Vulnérabilité dans SpamAssassin
  • CERTA-2007-AVI-095 : Vulnérabilité de Snort
  • CERTA-2007-AVI-096 : Vulnérabilité de TrendMicro ServerProtect
  • CERTA-2007-AVI-097 : Vulnérabilités dans Cisco Secure Services Client
  • CERTA-2007-AVI-098 : Multiples vulnérabilités dans les équipements CISCO Unified IP

Pendant la même période, les avis suivant ont été mis à jour :

  • CERTA-2007-AVI-076 : Multiples vulnérabilités dans php (ajout des références CVE et Redhat)
  • CERTA-2007-AVI-093 : Multiples vulnérabilités dans ClamAV (ajout de la référence Mandriva)


Liste des tableaux

Gestion détaillée du document

23 février 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22