Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-022

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 juin 2010
No CERTA-2010-ACT-022

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-22


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-022

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-022.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-022/

1 Périphériques infectés en usine

Cette semaine, il a été relaté dans la presse spécialisée qu'un lot de téléphones mobiles avait été vendu en Allemagne avec un virus sur la carte MicroSD. Lorsque que l'on branche ce type de téléphone sur un ordinateur celui-ci est vu, entre autre, comme un périphérique de stockage amovible. Donc si un fichier Autorun.inf se trouve à la racine (comme c'est le cas dans cet exemple), et que le mécanisme d'Autorun n'a pas été désactivé, la machine se trouve infectée.

On retrouve des cas similaires d'infections en usine dans de nombreux exemples récents. Tout périphérique pouvant être vu comme un périphérique de stockage peut donc être un vecteur d'infection, et cela ne s'arrête pas aux clés USB. On peut y retrouver par exemple :

  • les cartes mémoires (SD, MMC, ...) ;
  • les disques externes ;
  • les lecteurs MP3 ;
  • les téléphones ;
  • les appareils photos et caméscopes ;
  • ...

Le CERTA recommande donc, au minimum, de vérifier la racine de ces périphériques et si possible de les formater avant toute utilisation.

La désactivation de l'Autorun sur les machines est évidement un pré-requis avant toute connexion de ce type de périphériques.

2 iscanner - vérifieur de fichiers Web

2.1 Présentation

Dans le bulletin d'actualité CERTA-2010-ACT-014 du 09 avril 2010, l'outil SKIPFISH, un scanner de vulnérabilités Web avait été présenté. Il utilisait une base de vulnérabilités exploitables en ligne pour tester la sécurité d'un site. L'outil, que nous présentons dans le présent article, utilise aussi une base de connaissances, mais cette fois-ci, de compromissions connues. Il ne recherche donc pas les vulnérabilités mais les incidents. Il s'utilise directement sur les fichiers, et peut donc être lancé sur une copie ou un site hors ligne. Il signale, par exemple, la présence de scripts dans les pages qui utilisent des sources externes ou des iframe invisibles. La partie détection s'apparente en fait à la commande Unix : grep utilisée avec une base de connaissances. Il permet aussi de nettoyer automatiquement les fichiers compromis. La faible incidence de cet outil sur le système permet de le programmer comme tâche planifiée et de surveiller ainsi l'évolution du système.

2.2 Recommandations

Encore une fois, plusieurs précautions sont à prendre lors de l'utilisation d'outils de sécurité. Tout d'abord le CERTA recommande de ne pas utiliser de l'option de nettoyage des fichiers. Si un incident est détecté, il faut commencer par en trouver l'origine et corriger les vulnérabilités associées. Ensuite, tous ces outils ne se suffisent pas à eux-mêmes. Sans une personne ayant l'expérience suffisante pour lire et interpréter les résultats, ils ne servent à rien, si ce n'est apporter un faux sentiment de confiance. Et enfin, il faut connaître les limites de ses outils. Dans le cas présent, l'outil cherche des compromissions dans des fichiers considérés par défaut comme légitimes. Un fichier local malveillant, mais ne portant pas de traces de compromission ne sera pas détecté. Exécuté sur le shellscript bien connu C99, il ne trouve aucun fichier infecté comme le montre la sortie ci-dessous :

[*] Scanning "/tmp/www/demo.local/pirate/c99.php". (db:0.1.6 - 26/Apr/2010)
[*] Scan finished in (1) seconds, [0] infected files found.

2.3 Documentation


3 Rappel des avis émis

Dans la période du 28 mai au 03 juin 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-231 : Vulnérabilité dans IBM Communication Server pour AIX
  • CERTA-2010-AVI-232 : Vulnérabilité dans HP MFP Digital Sending Software
  • CERTA-2010-AVI-233 : Multiples vulnérabilités dans FreeBSD
  • CERTA-2010-AVI-234 : Vulnérabilité dans Joomla!
  • CERTA-2010-AVI-235 : Multiples vulnérabilités dans IBM Lotus Connections


Liste des tableaux

Gestion détaillée du document

04 juin 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22