Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-031

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 06 août 2010
No CERTA-2010-ACT-031

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-31


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-031

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-031.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-031/

1 Correction de la vulnérabilité du shell de Microsoft Windows

Cette semaine, Microsoft a publié une mise à jour corrigeant la vulnérabilité du shell Windows. Cette faille dans la gestion des fichiers de raccourcis .lnk permet l'exécution de code arbitraire à distance. Elle est activement exploitée, notamment par le code malveillant dénommé Stuxnet.

L'application du correctif dès que possible est fortement recommandée. Pour rappel, les systèmes Windows 2000 et Windows XP Service Pack 2 ne sont plus supportés par Microsoft. Ils seront donc toujours vulnérables à cette faille et il est nécessaire de migrer vers une version plus récente du système d'exploitation.

Docuementation

2 Alerte concernant l'Apple iOS

Cette semaine le CERTA a publié l'alerte CERTA-2010-ALE-011 concernant l'Apple iOS, le système d'exploitation des iPhones, iPad et iPod.

Elle traite de deux vulnérabilités, l'une permettant l'exécution de code arbitraire à distance et l'autre une élévation de privilèges. Elles sont actuellement utilisables en ligne pour débloquer (jailbreaker) les différents appareils concernés. Cette action demande une validation de l'utilisateur mais pourrait être automatisée et utilisée à des fins malveillantes. La portée de cette action est d'ailleurs mal connue. Il est certain que des logiciels sont installés, au moins cydia (gestionnaire de paquets alternatifs à AppStore), et que pour cela des droits élevés sont obtenus. Il n'y a aucune garantie que cela ne fasse pas autre chose. De plus, l'utilisateur ayant accès au compte administrateur, le modèle de sécurité est cassé, or ce modèle est là pour protéger l'utilisateur contre des attaques, mais aussi contre lui même et les erreurs de manipulations. L'un des objectifs du « jailbreak » est de pouvoir installer des applications quelconques.

Pour ce qui est des attaques exploitant les vulnérabilités de l'alerte, le CERTA recommande la plus grande prudence avec les fichiers PDF, que cela soit par courriel, en naviguant voire par MMS.

Pour ce qui est du déblocage des appareils, d'un point de vue de la sécurité des systèmes d'information, le CERTA recommandant de ne pas installer des applications d'origine peu contrôlée et au suivi aléatoire, mais également de ne pas briser les modèles de sécurité, il est conseillé, bien sûr, de ne pas le faire.

Pour les directeurs et responsables de la sécurité des services d'information, le CERTA recommande la plus grande vigilance quant à l'usage des ces appareils dans leur SI. Il est essentiel de communiquer et sensibiliser sur l'importance de ne pas traiter d'informations sensibles dessus, et s'il s'agit d'appareil professionnels, d'être clair sur les limites d'utilisation .

Documentation

3 Vulnérabilité non corrigée dans les produits Adobe

Cette semaine, Adobe a confirmé la présence d'une vulnérabilité non corrigée dans Adobe Reader et Adobe Acrobat. Cette faille, révélée lors du conférence de sécurité informatique, réside dans l'interprétation de police de caractère au sein d'un fichier au format PDF spécialement conçu.

Le CERTA a donc publié une alerte afin d'avertir ses lecteurs et recommande l'utilisation d'un logiciel alternatif dans l'attente du correctif annoncé pour le 16 août 2010.

Documentation

4 La sécurité des applications utilisant VxWorks mise à mal

Un problème de sécurité important touche le répandu système d'exploitation temps-réel VxWorks.

Ce système d'exploitation spécialisé pour faire fonctionner les systèmes embarqués est très utilisé, notamment dans un grand nombre de projets de défense et à destination du grand public : aérospatiale, transport aérien civil et militaire, armes de guerre, équipements informatiques (routeurs, box Internet, ...), télécommunication, automobile...

De par sa nature c'est un système d'exploitation destiné à fonctionner sur des architectures différentes des ordinateurs personnels (MIPS, SH-4, ...), ce qui implique que les développeurs travaillant sur cette plate-forme utilisent un compilateur croisé couplé à un émulateur de l'architecture cible, au moins dans les premières étapes du développement. Aussi, pour pouvoir déboguer plus facilement l'application une fois installée sur l'architecture cible, VxWorks fournit un service de déboguage accessible à distance écoutant sur le port UDP/17185. Ce service permet d'effectuer plusieurs actions sur le système embarqué, notamment la lecture et l'écriture de la mémoire physique.

Le problème réside dans le fait que beaucoup d'intégrateurs n'ont pas désactivé ce service de déboguage lors de la mise en production de leur système. Il apparait que beaucoup de ces systèmes sont stratégiques et sont connectés à Internet. À noter que ce service utilise le protocole ONC RPC (plus connu sous le nom de SunRPC) qui est un RPC léger n'ayant de toute façon pas vocation à être déployé sur des WAN, contrairement à CORBA ou SOAP par exemple.

La conséquence de ce défaut de configuration est importante. Un attaquant peut se connecter sur ce service en UDP/17185 et lire la mémoire physique afin, par exemple, d'y chercher les mots de passe des utilisateurs. Pour contrer cette dernière attaque, VxWorks avait développé son propre algorithme de hachage pour stocker les mots de passe en mémoire, le problème étant que cet algorithme est cassable facilement, ce qui n'est pas très étonnant car il n'avait pas été testé publiquement. On ne dira jamais assez qu'en matière de cryptographie la sécurité par l'obscurité ne fonctionne pas.

Il existe donc à l'heure actuelle des outils permettant de casser les mots de passe VxWorks à distance sur les systèmes embarqués ayant laissé actif le service de déboguage en écoute sur Internet. Et ils sont nombreux.

La solution à ce problème, c'est-à-dire de désactiver le service de déboguage, est complexe à mettre en oeuvre parce qu'elle nécessite une mise à jour du système, et donc un accès direct au matériel. Par conséquent, il sera malheureusement difficile de corriger ce défaut sur tous les systèmes utilisant VxWorks, et le risque de trouver des systèmes encore vulnérables dans plusieurs années est important.

Dans tous les cas, si vous avez la responsabilité de systèmes utilisant VxWorks, il vous faut au plus vite tester si le service de déboguage sur UDP/17185 est activé. Si tel est le cas, il vous faut contacter le fournisseur de votre système au plus vite pour obtenir une mise à jour désactivant ce service.


5 Rappel des avis émis

Dans la période du 30 juillet au 05 août 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-345 : Vulnérabilité dans la bibliothèque libmspack
  • CERTA-2010-AVI-346 : Vulnérabilités dans MediaWiki
  • CERTA-2010-AVI-347 : Multiples vulnérabilités dans TYPO3
  • CERTA-2010-AVI-348 : Multiples vulnérabilités dans Wireshark
  • CERTA-2010-AVI-349 : Vulnérabilité dans Akamai Download Manager
  • CERTA-2010-AVI-350 : Vulnérabilité dans EMC Disk Library
  • CERTA-2010-AVI-351 : Vulnérabilité dans SPIP
  • CERTA-2010-AVI-352 : Vulnérabilités dans Novell iPrint Client
  • CERTA-2010-AVI-353 : Vulnérabilité dans le Shell de Microsoft Windows
  • CERTA-2010-AVI-354 : Vulnérabilités dans JBoss Enterprise SOA
  • CERTA-2010-AVI-355 : Vulnérabilité dans Linux CIFS

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-264-002 : Multiples vulnérabilités dans Apache (ajout de la référence au bulletin de sécurité IBM)


Liste des tableaux

Gestion détaillée du document

06 août 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-24