Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-027

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 03 juillet 2009
No CERTA-2009-ACT-027

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-27


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-027

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-027.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-027/

1 Mickael Jackson : the king of the bot !

1.1 L'actualité

Les pirates informatiques se sont depuis longtemps inspirés de l'actualité afin de propager toutes sortes de codes malveillants et de pourriels : catastrophes naturelles, crash d'avion, élection présidentielles, tous les prétextes sont bons...

Cette semaine c'est la mort de Mickael Jackson, le roi de la pop, qui sert de support à des fins malveillantes. Les méthodes sont classiques et se présentent sous la forme suivante :

  • un pourriel est envoyé contenant une pièce jointe malveillante. Si le lecteur un peu trop curieux tente d'ouvrir le fichier, alors un cheval de Troie ou un robot IRC sera installé et permettra à une personne malveillante de prendre le contrôle de la machine et de lui envoyer des commandes à distance ;
  • un pourriel invitant à aller visionner des images ou des vidéos exclusives du chanteur est envoyé. Les liens contenus dans le courrier électronique redirigent alors vers des sites tentant d'installer des logiciels malveillants ou de récolter des adresses électroniques afin d'alimenter une base de futures victimes de nouvelles attaques.

1.2 Les recommandations

Comme à l'accoutumée, le CERTA recommande d'appliquer les bonnes pratiques suivantes afin de limiter les compromissions :

  • ne jamais ouvrir de courriels et encore moins de pièces jointes prevenant d'une source inconnue ;
  • lire les messages au format texte afin de limiter les risques d'un lien hypertexte trompeur ;
  • maintenir à jour l'ensemble de son système (système d'exploitation, antivirus, navigateur, client de messagerie, ...) ;
  • se méfier des messages surfant sur l'actualité surtout si ces derniers sont écrits en langue étrangère.

2 Un scanner de vulnérabilités pour Joomla!

Cette semaine a vu la sortie d'un outil permettant de scanner les vulnérabilités du gestionnaire de contenu Joomla!. Cet outil a notamment la particularité d'avoir une base de signatures de vulnérabilités à tester pouvant être mise à jour. Cette application, écrite en langage Perl, teste toutes les vulnérabilités connues de Joomla! et de ses composants au moyen de requêtes de type GET ou HEAD. Chacun de ces tests produit une connexion sur le serveur web et laissera donc une trace dans les journaux des connexions du serveur. Il est constaté que, dans la configuration par défaut de l'outil, l'auteur a usurpé un identifiant de navigateur « légitime » (le UserAgent) :

Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.9.0.3) Gecko/2008092417 
Firefox/3.0.3

Le CERTA rappelle qu'il est important de suivre les correctifs de sécurité des applications utilisées, de connaître l'exhaustivité des modules complémentaires installés et de supprimer, le cas échéant, les extensions non-utilisées.

Même si cet outil peut être utilisé dans une démarche légitime de durcissement de la sécurité du Joomla! que vous maîtrisez, le CERTA rappelle que certains individus malveillants pourraient en détourner son usage afin de mettre en évidence une vulnérabilité et automatiser son exploitation. La surveillance systématique des journaux des connexions peut permettre de mettre en évidence un comportement malveillant, tel que celui de passer en revue toutes les vulnérabilités d'un produit.

Documentation

3 Objet offert, canal caché ?

Le CERTA a été amené à analyser une clef USB distribuée aux participants d'une réunion. Sans renier le message de vigilance à l'attention de celui qui reçoit un tel objet, nous allons voir qu'il convient aussi de constater que des risques existent aussi pour celui qui remet l'objet.

La clef en question se monte en système de fichier VFAT et un listage indique que la clef est vide. En approfondissant, des résidus d'informations étaient présents. Dans le cas traité, cela comprenait des types de partition, des noms de fichiers, des champs, une adresse réticulaire (URL), etc., bref une large variété d'informations. Le traitement réalisé ne permet pas de savoir si ces informations proviennent du producteur des clefs ou du commanditaire de la fabrication. En tout état de cause, la réalisation de supports distribués aux participants à une réunion ou aux clients doit être entourée de précautions évitant cette fuite d'informations.

Un simple formattage est insuffisant. Il convient de surcharger tout le volume, puis de le formater et enfin d'y copier les fichiers que l'on souhaite remettre aux destinataires de l'objet.

La même recommandation est applicable à tous les supports contenant une mémoire (DVD, CD, cadre photo, lecteur MP3 ou baladeur...).


4 Rappel des avis émis

Dans la période du 26 juin au 03 juillet 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-256 : Vulnérabilité du pilote Intel PRO/1000
  • CERTA-2009-AVI-257 : Multiples vulnérabilités de HP-UX Apache Web Server Suite
  • CERTA-2009-AVI-258 : Vulnérabilité du client Samba
  • CERTA-2009-AVI-259 : Vulnérabilité du serveur Samba
  • CERTA-2009-AVI-260 : Multiples vulnérabilités dans Cisco Adaptive Security Appliance
  • CERTA-2009-AVI-261 : Vulnérabilités de Sun Java Web Console
  • CERTA-2009-AVI-262 : Vulnérabilité de Sun Java System Access Manager
  • CERTA-2009-AVI-263 : Multiples vulnérabilités dans Joomla!
  • CERTA-2009-AVI-264 : Vulnérabilité dans HP-UX

Pendant la même période, l'avis suivant a été mis à jour :

  • CERTA-2009-AVI-192-001 : Vulnérabilités dans OpenSSL (ajout des références aux bulletins de sécurité OpenSSL, IBM, Ubuntu et aux CVE)


Liste des tableaux

Gestion détaillée du document

03 juillet 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28