Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-050

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 14 décembre 2007
No CERTA-2007-ACT-050

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-50


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-050

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-050.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-050/

1 Multiplicité de services et conséquences

Le CERTA a traité cette semaine une compromission de serveur liée à la découverte d'un compte à mot de passe faible utilisé pour plusieurs services (SSH, FTP). Jusqu'ici, rien de bien nouveau : un attaquant balaie des plages d'adresses à la recherche de serveurs SSH en écoute sur le port 22/tcp, et pour chaque serveur trouvé, il essaie de nombreuses combinaisons de noms de compte et de mots de passe. Ces attaques sont très fréquentes, il suffit de lire ses journaux pour s'en convaincre.

La particularité de cet incident réside dans le fait que le compte avec le mot de passe faible utilise l'interpréteur de commandes (shell) /bin/false. Autrement dit, lorsque l'attaquant a rejoué les identifiants découverts, il a été immédiatement déconnecté, le système n'étant pas capable de fournir un shell valide.

Là où d'autres auraient abandonné, notre attaquant a persévéré : il a découvert un service FTP en écoute sur le port 21/tcp pour lequel il n'est pas nécessaire de disposer d'un shell valide. L'intrus a donc rejoué les identifiants récupérés sur le serveur lors de l'attaque contre le service SSH pour se connecter en FTP, et a déposé plusieurs fichiers, notamment un shell écrit en PHP.

L'attaque ne s'arrête pas là : un serveur HTTP étant également présent sur le système, l'attaquant a ensuite effectué une connexion sur ce serveur et a appelé le shell PHP précédemment déposé. Cette méthode lui a finalement permis d'obtenir un accès sur le système avec les droits... de l'utilisateur www-data !

Il est important de préciser que les shell PHP sont accessibles par tous et que certains attaquants utilisent des moteurs de recherches pour en découvrir. L'incident que nous venons de décrire a ainsi permis à d'autres intrus de se connecter sur le serveur par l'intermédiaire du shell PHP installé.

Recommandations :

Les recommandations d'usage sont toujours les mêmes : il est généralement conseillé de ne pas concentrer plusieurs services sur une même machine. Il est fréquent de voir des services FTP et/ou SSH sur des serveurs HTTP, souvent pour mettre à jour le contenu Web. Il est toutefois possible de restreindre les plages d'adresses et les comptes autorisés à se connecter, notamment à l'aide de filtrage. Enfin, il est rappelé que l'attaque n'aurait peut-être pas été possible si des mots de passe plus forts avaient été utilisés.

2 SquirrelMail compromis ?

Le site de SquirrelMail annonce que la version 1.4.12 en téléchargement a été compromise et modifiée. En effet, l'empreinte MD5 des versions 1.4.12 téléchargées ne correspondait pas à l'empreinte indiquée sur le site Web. Les développeurs de SquirrelMail ont ainsi découvert que les fichiers en téléchargement avaient été modifiés après avoir été proposés en téléchargement. Selon les développeurs, les modifications des fichiers n'auraient pas de conséquences importantes en termes de sécurité.

Il est toutefois recommandé, pour tous ceux qui auraient téléchargé la version 1.4.12 entre le 08 décembre 2007 et le 13 décembre 2007, de recommencer cette opération et de vérifier que l'empreinte MD5 est bien valide.

Documentation :

3 Mac OS 10.5 est compatible SUSv3

Pour des raisons de compatibilité, Apple a mis l'accent sur la normalisation de son système d'exploitation Mac OS 10.5 et des modifications y ont donc été apportées pour qu'il soit compatible SUSv3 (Single UNIX Specification). Le système repose sur de nombreux projets libres qui n'ont pas les moyens de s'engager dans le processus compliqué de la certification. Ces projets pourront bénéficier des efforts d'Apple, les modifications apportées pouvant être réintégrées aux sources originelles.

3.1 Les effets

Les modifications touchant aussi bien les interfaces de bibliothèques que les commandes shell, cela peut entraîner des dysfonctionnements de certaines applications en fonction de la version du système où elles sont exécutées. Si, dans la majorité des cas, il s'agit d'ajout de fonctionnalités n'affectant pas les anciens programmes, quelques différences, listées et décrites par Apple, peuvent tout de même concerner l'exécution de programmes. Apple propose des moyens de contourner ces différences, soit en utilisant des directives de compilation, soit en utilisant des variables d'environnement forçant la compatibilité ascendante. Par exemple, l'initialisation de la variable COMMAND_MOD=legacy permet de forcer l'ancien comportement des commandes des shell.

Dans les différences notables, la commande ps n'interprète plus de de la même façon l'option -u. Alors que dans la version précédente, elle définissait les informations à afficher (le nom de l'utilisateur et l'heure du lancement du processus), dans la nouvelle version, elle permet de définir l'utilisateur dont on veut voir les processus en cours ( -u[nom]). Ainsi, la commande ps -aux retourne ps: No user named 'x'. Cependant, il est possible de l'utiliser de l'ancienne syntaxe, en initialisant la variable COMMAND_COM. Ainsi la ligne de commande suivante fonctionne :  COMMAND_COM=legacy ps -aux

3.2 Remarques

Même si Apple fournit un certain nombre de moyens de contournement, un changement de système d'exploitation doit toujours être réfléchi et validé avant d'être déployé. De plus, respecter les normes lors de la réalisation d'un projet est la meilleure façon d'optimiser la compatibilité du développement dans le temps.

4 Vulnérabilités Microsoft

Le CERTA a publié cette semaine 7 avis portant sur des vulnérabilités touchant des produits Microsoft, qui correspondent à des bulletins de sécurité publiés par l'éditeur le mardi 11 décembre. Sur ces 7 bulletins de sécurité, 5 ont un risque d'exécution de code arbitraire à distance. Ces 5 avis concernent les éléments suivants :

  • une vulnérabilité dans le service Message Queuing de Microsoft Windows (MS07-065, CERTA-2007-AVI-536) ;
  • deux vulnérabilités dans Microsoft DirectX (MS07-064, CERTA-2007-AVI-535);
  • une vulnérabilité dans SMBv2 (MS07-063, CERTA-2007-AVI-534) ;
  • une vulnérabilité dans le traitement de fichiers ASF par Windows Media Player (MS07-068, CERTA-2007-AVI-539) ;
  • plusieurs vulnérabilités dans le navigateur Internet Explorer (MS07-069, CERTA-2007-AVI-540).
Enfin, deux avis concernent également des élévations de privilèges, dont la deuxième serait d'ores et déjà exploitée :
  • une vulnérabilité dans le noyau de Windows Vista (MS07-066, CERTA-2007-AVI-537) ;
  • une ancienne vulnérabilité dans le pilote Macrovision (MS07-067, CERTA-2007-AVI-538) ;

Tous les systèmes d'exploitation sont touchés par ces vulnérabilités. Le CERTA recommande l'installation sans délai des correctifs de sécurité.

Par ailleurs, Microsoft a également publié le Service Pack 1 d'Office 2007, qui contient notamment de nombreux correctifs de sécurité.

Documentation


5 Rappel des avis émis

Dans la période du 07 au 13 décembre 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-524 : Multiples Vulnérabilités dans Sun Solaris
  • CERTA-2007-AVI-525 : Vulnérabilité dans FreeBSD
  • CERTA-2007-AVI-526 : Vulnérabilités dans Novell BorderManager
  • CERTA-2007-AVI-527 : Vulnérabilité dans plusieurs produits Avaya
  • CERTA-2007-AVI-528 : Vulnérabilité dans Citrix EdgeSight
  • CERTA-2007-AVI-529 : Vulnérabilité dans Cisco Security Agent
  • CERTA-2007-AVI-530 : Vulnérabilité dans CiscoWorks
  • CERTA-2007-AVI-531 : Vulnérabilité dans Novell NetMail
  • CERTA-2007-AVI-532 : Vulnérabilité dans XEN
  • CERTA-2007-AVI-533 : Vulnérabilité dans Drupal
  • CERTA-2007-AVI-534 : Vulnérabilité dans SMBv2 de Microsoft Windows
  • CERTA-2007-AVI-535 : Vulnérabilités dans Microsoft DirectX
  • CERTA-2007-AVI-536 : Vulnérabilité dans le service Message Queuing de Microsoft Windows
  • CERTA-2007-AVI-537 : Vulnérabilité du noyau Windows
  • CERTA-2007-AVI-538 : Vulnérabilité dans le pilote Macrovision
  • CERTA-2007-AVI-539 : Vulnérabilité dans le format de fichier Windows Media
  • CERTA-2007-AVI-540 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2007-AVI-541 : Vulnérabilité dans MySQL
  • CERTA-2007-AVI-542 : Vulnérabilité d'Emacs

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2007-AVI-516-002 : Vulnérabilité dans avast!

    (Ajout de la référence CVE)


Liste des tableaux

Gestion détaillée du document

14 décembre 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28