Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-027

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 09 juillet 2010
No CERTA-2010-ACT-027

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-27


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-027

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-027.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-027/

1 De l'utilité des dates dans l'historique du shell

Cette semaine, le CERTA a traité un incident ayant eu lieu sur un serveur Linux. L'analyse des traces a été grandement facilitée par un élément de configuration du serveur qui permet d'associer une date à chaque action de l'historique du shell. L'administrateur avait mis en place la variable d'environnement HISTTIMEFORMAT de l'interpréteur de commandes bash.

Le CERTA a donc pu tracer beaucoup plus facilement les actions réalisées par l'intrus sur le système.

Le CERTA recommande de mettre en place cette option à l'installation du système. C'est une mesure qui peut se révéler inestimable pour savoir ce qu'il s'est passé, notamment en cas de problème de sécurité sur la machine.

2 Vulnérabilité dans Ubuntu

Cette semaine, le CERTA a publié l'avis CERTA-2010-AVI-304 relatif à une vulnérabilité spécifique à la version d'un module PAM (Pluggable Authentication Modules) présent dans les versions 9.10 et 10.04 de la distribution GNU/Linux Ubuntu. Cette vulnérabilité permet à un utilisateur disposant d'un compte sur le système vulnérable d'élever ses privilèges.

Le côté inhabituel de cette faille réside dans le fait qu'elle ne nécessite pas d'outils spécifiques exploitant tel pointeur nul ou tel autre débordement de mémoire. L'attaquant a uniquement et simplement à profiter d'un manque de contrôles de la part d'un module PAM lui permettant de façon triviale de passer administrateur de la machine. Il lui suffit de disposer d'un accès quelconque sur le système (par exemple local, ou encore via SSH ou telnet), l'exploitation se faisant à la connexion.

En outre, il est à noter que, au niveau des journaux système, la seule trace sera une authentification réussie de la part d'un utilisateur légitime !

Le CERTA invite donc fortement les utilisateurs des versions Ubuntu 9.10 et 10.04 à mettre à jour leur système dans les plus brefs délais en appliquant le correctif décrit dans le bulletin de sécurité USN-959-1.

Documentation :

3 Annonce d'un réseau de smartphones zombis

Un article, largement relayé sur l'Internet, annonce la decouverte d'un réseau de 100 000 smartphones zombis. L'origine de cette annonce étant une société commercialisant une solution antivirus pour téléphones mobiles, sa véracité, ou tout du moins son ampleur, sont à prendre avec du recul. Selon la description faite du logiciel, le code se propagerait en envoyant des SMS contenant une adresse pointant sur un programme malveillant au nom attrayant et d'actualité, et cela à tous les contacts du répertoire et à d'autres numéros aléatoires. Il semble donc que l'infection du terminal mobile nécessite une action de la part de la victime.

Si cette annonce semble un peu trop orientée pour être complétement crédible, le risque d'infection des terminaux mobiles est réel. Il s'agit de machines autonomes connectées, communiquantes et rarement mises à jour. Ces SmartPhones contiennent de plus en plus fréquemment des documents de travail et autres informations sensibles. Ils peuvent même être utilisés comme micro d'ambiance. Ils sont encore à la frontière du personnel et du professionnel et n'apparaissent pas souvent dans les PSSI malgré les risques qu'ils entrainent. Les risques qu'ils soient touchés et que cela ait un impact sur la sécurité locale sont bien réels et ne doivent donc pas être ignorés.

Encore une fois, le CERTA recommande pour l'utilisation de ces terminaux mobiles d'appliquer les mêmes bonnes pratiques que pour un ordinateur portable classique. À savoir, entre autres :

  • appliquer les correctifs de sécurité ;
  • maîtriser les informations stockées dessus ;
  • ne pas accepter de documents (par messagerie électronique, SMS, Bluetooth, ...) non attendus ;
  • n'activer les interfaces de communication qu'au besoin (WiFi, Bluetooth, ...) ;
  • ne pas le laisser sans surveillance ;
  • vérifier les journaux locaux (appels, SMS, ...) et les factures ;
  • et surtout en avoir une utilisation réfléchie et conforme avec la PSSI.


4 Rappel des avis émis

Dans la période du 02 au 08 juillet 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-299 : Vulnérabilité de sudo
  • CERTA-2010-AVI-300 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2010-AVI-301 : Vulnérabilité dans Bogofilter
  • CERTA-2010-AVI-302 : Multiples vulnérabilités dans Novell Identity Manager
  • CERTA-2010-AVI-303 : Vulnérabilité dans les commutateurs Cisco Industrial Ethernet 3000 series
  • CERTA-2010-AVI-304 : Vulnérabilité dans Ubuntu
  • CERTA-2010-AVI-305 : Vulnérabilité dans Ruby

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-260-002 : Vulnérabilités dans Wireshark (ajout des références aux bulletins de sécurité Mandriva et Debian)
  • CERTA-2010-AVI-295-001 : Vulnérabilité dans Citrix XenServer (ajout de la référence CVE)
  • CERTA-2010-AVI-297-001 : Vulnérabilités sur OpenVMS (ajout de la référence CVE)


Liste des tableaux

Gestion détaillée du document

09 juillet 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22