Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-004

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 28 janvier 2011
No CERTA-2011-ACT-004

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-04


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-004

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-004.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-004/

1 Incidents de la semaine

1.1 FCKeditor, le retour

Le logiciel FCKeditor, désormais appelé CKEditor, est un éditeur de texte qui peut être utilisé pour des pages Web. Il est doté d'une fonctionnalité de dépôt de fichiers. Cette fonctionnalité peut aisément être détournée par un attaquant pour charger sur le serveur de fichiers, de la simple défiguration à l'entreposage de contenus illégaux. Il est directement intégré dans certains gestionnaires de contenu. Ainsi, des contributions au projet SPIP permettent l'intégration de ce logiciel.

Le CERTA a signalé à l'un de ses correspondants une insertion illégitime de fichier sur l'un de ses sites web. L'analyse a rapidement montré l'utilisation du logiciel FCKeditor par l'intrus pour déposer son fichier. Le CERTA avait fait part d'une vague d'intrusions basées sur cet utilitaire (voir section Documentation). L'incident de cette semaine prouve que la méthode a toujours cours.

Dans le même temps, plusieurs défigurations touchant des sites du secteur privé ont été perpétrées par le même intrus. Certains de ces sites utilisent le même gestionnaire de contenu que le correspondant du CERTA cité ci-dessus. Il n'est pas exclus que l'éditeur intégré a été également utilisé.

1.1.1 Recommandations

Le CERTA recommande, face à cette situation :

  • de mettre, comme toujours, ses systèmes et ses logiciels à jour ;
  • de n'autoriser l'accès aux moyens de modifier le contenu (FCKeditor, FTP, SSH...) qu'aux utilisateurs et aux adresses nécessaires ;
  • d'utiliser des mots de passe forts pour ces modifications ;
  • de (faire) vérifier régulièrement la salubrité des postes de travail à partir desquels les modifications sont faites. Un mot de passe fort est en effet inutile si un cheval de Troie sur un tel poste copie et diffuse à volonté ce mot de passe ;
  • de n'allouer que les droits indispensables aux processus liés à ces outils de modification ;
  • de désactiver ces moyens dès lors qu'ils ne sont plus indispensables ;
  • de mettre en place un système de vérification de l'intégrité du serveur ;
  • de journaliser les modifications et d'analyser régulièrement les journaux.

La vigilance doit être encore plus grande lorsque le site web est sur un serveur mutualisé. Le défaut de cloisonnement ou des droits trop importants peuvent permettre à un intrus d'entrer par un site faible (par exemple avec FCKeditor accessible à tout l'Internet) pour rebondir ensuite sur tous les sites web hébergés.

1.1.2 Documentation


2 Rappel des avis émis

Dans la période du 21 au 27 janvier 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-027 : Vulnérabilité dans IBM WebSphere
  • CERTA-2011-AVI-028 : Vulnérabilité dans IBM Tivoli
  • CERTA-2011-AVI-029 : Vulnérabilité dans HP OpenView Storage Data Protector
  • CERTA-2011-AVI-030 : Vulnérabilité dans Cisco Linksys WRT54GC
  • CERTA-2011-AVI-031 : Multiples vulnérabilités dans Bugzilla
  • CERTA-2011-AVI-032 : Vulnérabilités dans syslog-ng
  • CERTA-2011-AVI-033 : Multiples vulnérabilités dans Cisco Content Service Gateway
  • CERTA-2011-AVI-034 : Vulnérabilité dans HP OpenView Storage Data Protector
  • CERTA-2011-AVI-035 : Vulnérabilité dans HP BAC et BSM
  • CERTA-2011-AVI-036 : Multiples vulnérabilités dans les produits Symantec
  • CERTA-2011-AVI-037 : Vulnérabilités dans Opera
  • CERTA-2011-AVI-038 : Vulnérabilité dans Novell GroupWise Internet Agent


Liste des tableaux

Gestion détaillée du document

28 janvier 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28