Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-035

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 28 août 2009
No CERTA-2009-ACT-035

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-35


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-035

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-035.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-035/

1 Incidents de la semaine

Cette semaine, le CERTA a traité un cas de phishing. Le site victime de l'intrusion avait été, quelques jours auparavant, attaqué suite à l'exploitation d'une faille du composant optionnel com_profiler de Joomla!. Le résultat de cette première attaque était une modification de page. La vulnérabilité exploitée était connue et corrigée en 2006, et ni le composant, ni le gestionnaire de contenu n'étaient à jour.

Si le scénario de défiguration, suivie quelques jours plus tard de l'installation d'un site de phishing, est relativement habituel, il convient de préciser que ce schéma a été rendu possible avant tout parce que le RSSI était en vacances. En effet, le tout premier incident n'a pas été correctement traité, faute de personne idoine disponible.

Le CERTA recommande donc aux RSSI de prévoir et former des personnels en vue d'assurer une continuité de service pour les périodes de congés ou de longue absence, prévue ou imprévue. Ce ou ces suppléants, et leur rôle, doivent être connus au sein de l'organisme (annuaire SSI).

2 Cisco Lightweight Access Point : insécurité à la mise en service

2.1 Vulnérabilité publiée

Dans une architecture de réseau Cisco comprenant une portion en WiFi, des équipements de type Lightweight Access Point (LAP) peuvent être installés. Ils sont alors reliés à un équipement Wireless LAN Controller (WLC) offrant des fonctions d'administration du réseau. Lors de sa mise en route, un LAP qui n'a pas été configuré va utiliser le protocole OTAP pour s'associer à un WLC.

En l'absence de protection native, cette association peut être détournée par un attaquant pour empêcher le LAP de s'associer avec le WLC légitime. Cette fenêtre d'opportunité est étroite pour un attaquant, mais elle existe.

Le fabricant a émis un bulletin de sécurité pour rappeler cette vulnérabilité non corrigée qui concerne les équipements Cisco Lightweight Wireless Access Point des séries 1100 and 1200.

2.2 Contournements et recommandations

L'opportunité d'attaque peut être supprimée si l'administrateur du réseau configure le LAP avant sa mise en route sur le réseau :

  • en utilisant une liste de contrôleurs (WLC) ;
  • en utilisant un mécanisme à clef publique d'authentification des équipements (LSC).

En complément, l'administrateur peut se tourner vers la détection de WLC non légitimes. Il lui est également recommandé de surveiller les journaux des équipements du réseau et des serveurs.

2.3 Documentation

3 Le virus est dans le compilateur

Il y a quelques jours, des éditeurs de solutions antivirus ont découvert un nouveau code malveillant à la technique de propagation originale, baptisé par certains Win32/Induc. Ce virus a la particularité de compromettre les compilateurs du langage de programmation Delphi. Une fois installé, le code malveillant se propage en s'intégrant à tous les programmes compilés à l'aide du logiciel compromis. Dans les versions actuelles aucune charge utile n'est intégrée, le code se contente de se propager.

Afin de savoir si le compilateur est compromis, il suffit de contrôler si le fichier sysConst.pas est présent dans le répertoire lib situé à la racine du répertoire d'installation du compilateur. Si le compilateur est compromis, tous les programmes créés par le compilateur sont potentiellement infectés par ce code malveillant.

Le CERTA recommande aux développeurs de supprimer complètement le compilateur, de le réinstaller et de recompiler toutes les applications. Il est important de ne pas exécuter les applications compromises afin de ne pas infecter de nouveau le compilateur. Il est impératif ensuite de rediffuser les applications saines afin de ne pas entretenir la propagation du code malveillant.


4 Rappel des avis émis

Dans la période du 21 au 27 août 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-344 : Vulnérabilités de Cisco IOS XR
  • CERTA-2009-AVI-345 : Vulnérabilité dans Cisco Firewall Services Module
  • CERTA-2009-AVI-346 : Vulnérabilité dans le client IBM AFS pour Linux
  • CERTA-2009-AVI-347 : Vulnérabilités dans la bibliothèque neon
  • CERTA-2009-AVI-348 : Vulnérabilité dans les produits VMware
  • CERTA-2009-AVI-349 : Vulnérabilité dans Radix Antirootkit
  • CERTA-2009-AVI-350 : Vulnérabilité du client de messagerie Mozilla Thunderbird
  • CERTA-2009-AVI-351 : Vulnérabilité dans les produits Symantec
  • CERTA-2009-AVI-352 : Vulnérabilité dans Xerox WorkCentre
  • CERTA-2009-AVI-353 : Vulnérabilité dans Lotus Notes
  • CERTA-2009-AVI-354 : Vulnérabilité dans Sun Solaris Print Service
  • CERTA-2009-AVI-355 : Multiples vulnérabilités du navigateur Google Chrome
  • CERTA-2009-AVI-356 : Multiples vulnérabilités dans Symantec Altiris Deployment Solution
  • CERTA-2009-AVI-357 : Vulnérabilités de Cisco Unified Communications Manager
  • CERTA-2009-AVI-358 : Vulnérabilité dans Sun Solaris

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-336-001 : Vulnérabilité dans GnuTLS (ajout de la référence au bulletin de sécurité Ubuntu)
  • CERTA-2009-AVI-337-003 : Vulnérabilité du noyau Linux (ajout de la référence au bulletin de sécurité Suse)
  • CERTA-2009-AVI-338-002 : Vulnérabilité de cURL et libcurl (ajout des références aux bulletins Mandriva et Debian)


Liste des tableaux

Gestion détaillée du document

28 août 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23