Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-011

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 16 mars 2007
No CERTA-2007-ACT-011

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-11


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-011

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-011.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-011/

1 Activités en cours

1.1 Compromissions en exploitant des vulnérabilités de PMB

Le CERTA a traité cette semaine plusieurs incidents concernant des serveurs web, suite à l'exploitation de vulnérabilités du logiciel PMB (appelé également PhpMyBibli).

Ce logiciel libre français de gestion de bibliothèque a fait l'objet de deux avis du CERTA cette semaine (CERTA-2007-AVI-117 et CERTA-2007-AVI-128).

Historique rapide :

Le 9 mars 2007, des sites Internet publient des informations permettant :

  • d'exploiter des vulnérabilités de la version 3.0.13 de PMB ;
  • de trouver des sites utilisant ce logiciel.

Quelques heures après, des sites web d'administrations nationales et locales sont défigurés. Le traitement de l'une de ces défigurations a révélé une compromission plus grave, avec l'installation de plusieurs outils sur le serveur, destinés à :

  • attaquer le réseau local du serveur compromis ;
  • exécuter des dénis de services (flood) ;
  • inclure le serveur dans un réseau de machines compromises (botnet).

Un autre incident, remonté par un correspondant du CERTA, a montré que le serveur compromis a servi à transmettre des courriels à des internautes pour les inciter à se connecter à un site frauduleux.

La connexion à ce dernier provoquait le chargement sur le poste de l'internaute d'un cheval de Troie, reconnu par peu d'antivirus, et la possible intégration du poste infecté à un botnet.

Le CERTA a émis un premier avis (CERTA-2007-AVI-117), l'éditeur ayant corrigé une vulnérabilité. Ce correctif s'est révélé insuffisant. Le travail concerté avec un ministère et avec l'éditeur a conduit à colmater d'autres brèches dans le logiciel. Un second avis (CERTA-2007-AVI-128) indique la version qui pare aux attaques utilisées cette semaine.

D'autres attaques plus discrètes, avec utilisation des serveurs compromis, ont pu avoir lieu.

Ces incidents prouvent une fois encore que :

  • le mécanisme d'inclusion de PHP est intrinsèquement dangereux ;
  • la défiguration d'un site est la partie visible de l'iceberg, la compromission pouvant être plus grave.

Recommandations :

  • Vérifier l'intégrité des serveurs utilisant PMB et analyser les journaux des 7 derniers jours ;
  • en cas de défiguration, toujours penser que l'intrusion peut être plus grave ;
  • en cas de découverte de compromission, préserver les traces et alerter le responsable SSI (CERTA-2002-INF-002) ;
  • migrer vers la version 3.0.17 indiquée dans l'avis CERTA-2007-AVI-128 ;
  • respecter le principe de défense en profondeur :
    • appliquer les mises à jour du système et des logiciels ;
    • supprimer les services inutiles ;
    • filtrer les accès entrant selon la finalité du serveur ;
    • filtrer les accès sortant du serveur ;
  • analyser régulièrement les journaux de connexion aux serveurs et le trafic du réseau.

1.2 Infections SpamThru

Le CERTA a été informé de l'infection de nombreuses machines par un code malveillant appelé SpamThru par certains éditeurs d'antivirus. Ce code malveillant a pour effet, entre autres, de transformer la machine infectée en robot de spam. La détection des machines infectées se fait essentiellement par l'analyse du trafic réseau. En effet, celles-ci tentent de se connecter par HTTPS (port 443/tcp) à quelques serveurs spécifiques afin de télécharger d'éventuelles mises à jour et les messages à propager (spam).

Les machines infectées sont également susceptibles d'engendrer un important trafic SMTP.

Recommandations :

Il est recommandé de vérifier qu'aucune connexion ne s'effectue vers des serveurs de messagerie non légitimes (trafic SMTP) et qu'aucune machine n'est à l'origine d'un envoi massif de messages électroniques.

1.3 Externaliser les fichiers journaux

Cette semaine, le CERTA a traité une compromission de site internet. Le site était hébergé dans un serveur web mutualisé sur lequel il n'y avait pas suffisament de cloisonnement. L'un des sites des clients de ce serveur était vulnérable à des attaques de type PHP INCLUDE. La personne malveillante, ayant réussi à avoir accès au serveur, a pu compromettre l'ensemble des sites hébergés sur la machine. De plus, les fichiers journaux de chaque site web étaient stockés dans la même arborescence. Le malfaiteur, avant de quitter le serveur, a pu sans difficulté supprimer tous les fichiers journaux de la machine.

Le CERTA rappelle à cette occasion le besoin de déporter régulièrement les fichiers journaux sur une autre machine afin de ne pas risquer de perdre l'ensemble des informations en cas de panne ou de compromission.

2 Vulnérabilité dans Internet Explorer 7

2.1 Présentation

Une vulnérabilité a été publiée cette semaine, à propos d'Internet Explorer 7. Elle n'est pas encore corrigée, mais pourrait être utilisée dans le cadre d'attaques par filoutage (phishing). En voici les détails :

Lorsqu'une tentative d'accès à une page Web, par exemple http://www.certa.ssi.gouv.fr échoue, le navigateur affiche une page par défaut, avec un lien vers la page inaccessible pour réessayer ultérieurement. Cela se présente alors sous la forme :

res://ieframe.dll/navcancl.htm#http://www.certa.ssi.gouv.fr

Internet Explorer 7 n'affichera que http://www.certa.ssi.gouv.fr dans la barre d'adressage. Cette technique peut donc être utilisée pour une attaque par filoutage. Le site de filoutage se trouve localement sur la machine. Il suffit alors de forcer la personne à cliquer sur un lien de type res://ieframe.dll/navcancl.htm#, pour la rediriger vers une page d'erreur, puis la page falsifiée du site de filoutage.

Cette attaque nécessite plusieurs conditions, comme une modification de la page navcancl.htm et des actions de l'utilisateur. Cependant, le scénario peut très bien survenir dans un environnement qui n'est pas de confiance, sur une machine tierce (cyber-café, ordinateurs partagés, etc.).

2.2 Recommandations

Dans l'attente d'un correctif pour Internet Explorer 7, il est recommandé de :

  • filtrer les liens de type res:// pour récupérer des ressources personnalisées sous Windows. Leur utilisation dans le corps d'un courrier électronique ou sur une page Web externe est peu courante, voire très suspecte.
  • ne pas faire confiance à la touche 'rafraichir' en cas d'erreur. Il vaut mieux retaper directement l'adresse du site demandé.
  • comparer l'empreinte (MD5 par exemple) de la page navcancl.htm avec celle d'un système sein.

3 Les acteurs de filoutage veulent en savoir plus

Le CERTA a été informé de nouvelles variantes dans les arnaques par filoutage (ou phishing) sur Internet. Le principal intérêt du filoutage est de récupérer des informations confidentielles, notamment bancaires à l'insu des victimes. Des variantes peuvent exister, par exemple une victime reçoit dans sa messagerie électronique un courrier de confirmation de son inscription payante à un site pour adultes. Le courrier l'informe du montant de son inscription, de ses identifiants de connexions (nom d'utilisateur et mot de passe) ainsi que du moyen de stopper les prélèvements sur son compte bancaire (en entrant ses coordonnées bancaires sur le site frauduleux). Par ce moyen, les auteurs de cette arnaque espèrent que des victimes rentreront leur coordonnées bancaires mais également que certaines d'entre elles essayeront de se connecter sur le site pour adulte avec les identifiants fournis. Si des victimes s'exécutent, il est à parier qu'elles recevront dans les prochains jours des courriers non solicités (SPAM) concernant des sites pour adultes.

4 Filtre anti-filoutage sous Firefox

Depuis la version 2.0 de Mozilla Firefox, le navigateur permet d'alerter l'utilisateur, au moyen d'un message visuel, lorsqu'il navigue sur un site suspecté d'être un site de phishing.

Une vulnérabilité non corrigée permet à un utilisateur malintentionné de contourner cette protection en ajoutant dans l'adresse réticulaire des caractères slash ('/') multiples. Le message d'alerte visuel n'apparaît alors plus à la victime.

Exemple : http://example.phishing.dot////sitefraduleux/

Il est donc important de vérifier, dans l'attente d'un correctif, que de telles URL n'apparaissent pas au niveau de serveurs proxy.

5 Retour sur les vulnérabilités IPv6 de cette semaine

5.1 OpenBSD sous les projecteurs

Le CERTA a publié l'avis CERTA-2007-AVI-113 concernant OpenBSD. Le problème provient initialement d'une vulnérabilité au niveau d'un tampon (mbuf). Ce dernier est utilisé pour manipuler les données IPv6, et un code d'exploitation a démontré qu'il était possible, en adressant un paquet spécialement construit au système vulnérable, d'exécuter du code arbitraire à distance sur celui-ci. Plus précisément, le débordement de tampon survient après la réception de paquets ICMPv6 fragmentés.

Cette vulnérabilité a fait grand bruit pour plusieurs raisons, la principale étant la configuration par défaut d'un système OpenBSD : le noyau dit GENERIC active IPv6, et le pare-feu pf d'OpenBSD ne filtre aucun paquet IPv6 arrivant sur les interfaces du système.

Cette vulnérabilité, qui ne serait pas toute récente, a poussé les développeurs d'OpenBSD à modifier leur fameuse phrase de bienvenue sur leur site : "Only one remote hole in the default install, in more than 10 years!" par "Only two remote holes in the default install, in more than 10 years!"

Un correctif provisoire est actuellement disponible, ainsi que des contournements pour filtrer le trafic IPv6.

http://www.coresecurity.com/?action=item&id=1703
ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/010_m_dup1.patch

5.2 Le noyau Linux

Le CERTA a également publié cette semaine l'avis CERTA-2007-AVI-120, concernant une vulnérabilité de la fonction ipv6_getsockopt_sticky, qui se trouve dans les noyaux Linux (net/ipv6/ipv6_sockglue.c). Tout noyau ayant une version antérieure à la 2.6.20.2 serait potentiellement vulnérable. L'exploitation, qui peut se faire localement, permet à une personne malveillante d'accéder à une partie de la mémoire et d'élever ses privilèges.

Le code d'exploitation est disponible publiquement. Le problème vient du fait qu'IPv6 est activé par défaut dans la plupart des distributions Linux récentes.

5.3 Les recommandations du CERTA

Les évènements de cette semaine montrent bien toute l'ambiguïté d'IPv6. Les nouveaux protocoles s'imposent d'eux-même dans les systèmes d'exploitation récents, alors que deux problèmes subsistent :

  • les administrateurs ne sont pas encore formés à cette technologie ;
  • cette technologie continue d'évoluer, et les mises en œuvre ne sont pas nécessairement très fiables.

Le CERTA avait publié en 2006 une note d'information concernant IPv6. La section 6.2 a été enrichie cette semaine, pour apporter quelques méthodes de désinstallations. Des règles de filtrage sont également explicitées.

6 Le Javascript est omniprésent

Quand l'occasion se présente, le CERTA conseille de désactiver par défaut l'exécution de codes (scripts, applets, ActiveX, etc.). Cela est valable pour les codes Javascript interprétés dans les navigateurs les plus courants (Firefox, Internet Explorer).

Le CERTA tient à attirer l' attention sur le fait que Javascript est de plus en plus utilisé et intégré à d'autres formats de données que les pages HTML. Ainsi, le bulletin d'actualité du CERTA de la semaine dernière (CERTA-2007-ACT-010) mentionnait l'interprétation du javascript par Adobe Acrobate Reader, ce qui a induit une faille dans ce logiciel, exploitée par un code disponible sur l'Internet.

Cette semaine, le logiciel Quicktime est à l'honneur. Un cheval de Troie nommé JS/SpaceTalk Trojan a été découvert, se présentant sous la forme d'un fichier vidéo au format .mov. Il rappelle brutalement que ce format peut intégrer du code Javascript. Cette propriété se nomme HREF track chez Apple et sera également reconnue sous iTunes.

Ces trois logiciels ne semblent pas être les seuls à interpréter ce langage, qui peut aussi être intégré insidieusement dans des formats flash ou MP3. Il semblerait que d'autres logiciels interprétent le Javascript : lecteurs audio, lecteurs videos, lecteurs Flash, lecteurs PDF, ... Plus important, certains logiciels ne proposent même pas à l'utilisateur de désactiver l'interprétation automatique de ce langage.

Face à ce problème, le CERTA recommande à ses lecteurs la plus grande vigilance envers les logiciels qu'ils emploient. Il convient de désactiver le support du javascript quand c'est possible, et de migrer vers un logiciel alternatif lorsque la désactivation n'est pas possible.

Une bonne pratique consiste à regarder attentivement les options de configuration, avant toute utilisation d'une nouvelle application, aussi réputée soit-elle.

7 Publications Microsoft de cette semaine

Les versions anglaises des services packs 2 pour Windows Server 2003 version 32 bits et Windows XP Professionel version 64 bits ont été publiés respectivement le 12 et 13 mars 2007. Les versions françaises ne sont pas encore disponibles.

Cette mise à jour comporte de nombreux correctifs, dont 51 de sécurité, et quelques améliorations, parmi lesquelles :

  • le « Scalable Networking Pack » (SNP), qui permet une gestion du réseau moins coûteuse pour le processeur ;
  • le support du WPA2 qui permet une meilleure sécurité du sans-fil Wi-Fi ;
  • les « Windows Deployment Services » (WPS), qui permettent notamment de déployer des machines sous Windows Vista plus facilement ;
  • des améliorations pour IPSEC, le pare-feu de Windows, la virtualisation, les performances de SQL-Server, etc.

Attention toutefois, cette mise à jour désinstalle certains « hotfixes » précédemment installés qu'il faudra réinstaller par la suite. Un utilitaire développé par Microsoft est disponible pour les identifier avant ou après la mise à jour.


8 Rappel des avis émis

Durant la période du 08 au 15 mars 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-115 : Vulnérabilité de Computer Associates eTrust Admin
  • CERTA-2007-AVI-116 : Vulnérabilité dans Novell NetMail
  • CERTA-2007-AVI-117 : Vulnérabilité de PMB
  • CERTA-2007-AVI-118 : Vulnérabilité dans MySQL
  • CERTA-2007-AVI-119 : Vulnérabilité dans Wordpress
  • CERTA-2007-AVI-120 : Vulnérabilité du protocole IPv6 dans le noyau Linux
  • CERTA-2007-AVI-121 : Vulnérabilité de la machine Java sous HP-UX
  • CERTA-2007-AVI-122 : Vulnérabilité dans MPlayer et Xine-lib
  • CERTA-2007-AVI-123 : Vulnérabilités dans le noyau Linux
  • CERTA-2007-AVI-124 : Vulnérabilités dans MacOS X
  • CERTA-2007-AVI-125 : Vulnérabilité dans Adobe JRun et ColdFusion MX
  • CERTA-2007-AVI-126 : Vulnérabilité dans Sun Java System Web Server
  • CERTA-2007-AVI-127 : Vulnérabilité dans les produits Trend Micro
  • CERTA-2007-AVI-128 : Vulnérabilités dans PMB
  • CERTA-2007-AVI-129 : Vulnérabilité dans CUPS

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2007-AVI-024-001 : Multiples vulnérabilités dans Adobe Acrobat

    (ajout des références à Red Hat, Sun, SuSE, Gentoo)

  • CERTA-2007-AVI-076-003 : Multiples vulnérabilités dans php

    (ajout de la référence SuSE)

  • CERTA-2007-AVI-093-002 : Multiples vulnérabilités dans ClamAV

    (ajout des références Debian, SuSE et Gentoo)

  • CERTA-2007-AVI-094-001 : Vulnérabilité dans SpamAssassin

    (ajout des mises à jour de sécurité Gentoo, Fedora, Mandriva, Red Hat)

  • CERTA-2007-AVI-095-001 : Vulnérabilité de Snort

    (ajout de la référence au correctif pour Gentoo)

  • CERTA-2007-AVI-102-002 : Multiples vulnérabilités de produits Mozilla

    (ajout des références aux mises à jour de sécurité Ubuntu, Gentoo, SuSE, Mandri va)

  • CERTA-2007-AVI-113-001 : Vulnérabilité dans OpenBSD

    (ajout du caractère distant de la vulnérabilité via un paquet ICMPv6)

  • CERTA-2007-AVI-114-001 : Vulnérabilité dans GnuPG

    (ajout des références aux mises à jour de Fedora et Red Hat)


Liste des tableaux

Gestion détaillée du document

16 mars 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28