Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-008

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 25 février 2011
No CERTA-2011-ACT-008

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-08


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-008

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-008.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-008/

1 Exploitation de vulnérabilités d'équipements réseau

1.1 Attaque et conséquences

Cette semaine, le CERTA a été avisé de l'exploitation active d'un double défaut de configuration de boitier ADSL (box) d'une gamme particulière.

Quand l'attaquant parvient à exploiter ces vulnérabilités, il devient capable de modifier la configuration réseau de l'équipement. Dans les nombreux cas observés par l'opérateur, les DNS primaire et secondaire inscrits dans l'équipement étaient modifiés. L'utilisateur abonné de l'opérateur n'interrogeait plus les DNS de son opérateur, mais les serveurs frauduleusement mis dans la configuration.

L'impact de cette simple modification n'est pas négligeable. Dès que le DNS auquel l'utilisateur s'adresse, sans le savoir, est malveillant, beaucoup de manipulations sont possibles de la part des attaquants :

  • analyse du trafic de l'utilisateur ;
  • capture de données personnelles, d'informations de connexion ou de données bancaires ;
  • détournement des courriels ;
  • déroutement vers des sites Web injectant des programmes malveillants ;
  • etc.

Pour mémoire, la modification de la configuration DNS dans les ordinateurs eux-mêmes est la méthode utilisée par la famille de programmes malveillants appelés justement DNSChanger, répandus dès 2007.

1.2 Recommandations

Pour ces équipements, le CERTA recommande une configuration basée sur le principe de défense en profondeur, même si les modalités de déploiement sont particulières pour cette gamme d'équipements :
  • maintien à jour des systèmes d'exploitation des logiciels et des greffons ;
  • suppression des services inutiles (désactivation, voire désinstallation) ;
  • restriction d'accès sur les différentes interfaces réseau ;
  • utilisation de mots de passe robustes et, chaque fois que cela est possible, à durée de vie limitée ;
  • journalisation des évènements, dont les changements de modification, et analyse de ces journaux ;
  • contrôles réguliers, par exemple confrontation périodique de la configuration implantée et de la configuration théorique.

2 Service Pack 1 pour Windows 7 et Windows Server 2008 R2

Depuis peu, un premier service pack est disponible pour Windows 7 et Windows 2008 R2. Celui-ci est publié sur le site de Microsoft mais aussi dans Windows Update.

Le service pack 1 n'apporte pas de fonctionnalité majeure mais un grand nombre de correctifs. Ainsi, il comporte 39 mises à jour de sécurité et plus de 750 hotfixes. Ces derniers ne sont en général pas téléchargés automatiquement et apportent des améliorations de performance et/ou de stabilité. La liste complète est disponible sur le site de l'éditeur.

Parmi les nouveautés, Microsoft annonce surtout quelques nouvelles fonctionnalités pour Windows Server 2008 R2 (allocation dynamique de mémoire pour Hyper-V, RemoteFX, améliorations de DirectAccess, etc.).

Le CERTA recommande la plus grande prudence pour l'installation du service pack 1, cela pouvant en effet causer des effets de bord. Il est recommandé d'attendre quelques jours voire semaines et de procéder à une recette avant de le déployer massivement sur un parc entier d'ordinateurs ou sur un système critique.

Documentation

3 Vulnérabilité du noyau Linux

Cette semaine, deux CVE relatifs à  des vulnérabilités dans le noyau Linux ont été publiés : CVE-2011-1011 et CVE-2011-1012. Le premier concerne une vulnérabilité liée au support des partitions de type MAC que l'on trouve de façon très classique avec les systèmes de type Mac OS X. Un utilisateur malintentionné peut causer un arrêt inopiné du système par le biais de l'insertion d'un support de données (disque du ou une clef USB) présentant une table de partitions MAC particulière. La seconde vulnérabilité, quant à  elle, est relative au support des partitions de type Microsoft Logical Volume Manager (LDM) et permet à  un utilisateur malintentionné de provoquer un arrêt inopiné du système, ou bien encore d'élever ses privilèges (accès au système sans authentification) en insérant sur la machine vulnérable un support de données présentant une table de partitions LDM particulière.

Recommandation :

En attendant que des correctifs soient proposés dans les noyaux des distributions GNU/Linux ou dans les sources du noyau standard (http://kernel.org), il est recommandé de ne pas insérer de support amovible utilisant ces types de partionnement. Il est aussi possible de recompiler les sources pour obtenir un noyau ne disposant pas du support pour ces partionnements.

4 Prise en compte d'IPv6 dans Debian Squeeze

Dans la dernière version stable de la distribution GNU/Linux Debian, l'intégration du protocole IPv6 ne se présente plus, comme dans les anciennes versions de Debian sous la forme de modules du noyau. En effet, la mise en œuvre d'IPv6 est maintenant incluse dans le noyau directement. Il n'est donc plus possible de décharger le ou les modules ad-hoc pour désactiver le support du protocole.

Dans la plupart des cas, IPv6, bien que présent, n'est pas utilisé et augmente de façon inutile la surface d'attaque du système (cf. http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/index.html. Il conviendra donc de le désactiver soit en recompilant un noyau sans le support de IPv6 soit par le biais de contrôles système particuliers (sysctl) en positionnant dans le fichier /etc/sysctl.conf les variables suivantes :

# d�sactivation du support pour les interfaces actuelles
net.ipv6.conf.all.disable_ipv6 = 1        

# d�sactivation du support de l'autoconfiguration
net.ipv6.conf.all.autoconf = 0          

# d�sactivation du support par d�faut pour les nouvelles interfaces
net.ipv6.conf.default.disable_ipv6 = 1  

# d�sactivation du support pour l'interface de bouclage
net.ipv6.conf.lo.disable_ipv6 = 1

Il est à noter que le fait de positionner ces variables dans le fichier ne suffit pas. Il faudra, soit, de façon cavalière, redémarrer la machine soit, de façon plus intelligente, utiliser la commande sysctl comme suit :

sysctl -w net.ipv6.conf.all.disable_ipv6=1        
sysctl -w net.ipv6.conf.all.autoconf=0          
sysctl -w net.ipv6.conf.default.disable_ipv6=1 
sysctl -w net.ipv6.conf.lo.disable_ipv6=1


5 Rappel des avis émis

Dans la période du 18 au 24 février 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-096 : Vulnérabilité dans Novell ZENworks Configuration Management
  • CERTA-2011-AVI-097 : Vulnérabilité dans ClamAV
  • CERTA-2011-AVI-098 : Multiples vulnérabilités dans Asterisk
  • CERTA-2011-AVI-099 : Vulnérabilité dans IBM FileNet Content Manager
  • CERTA-2011-AVI-100 : Vulnérabilités dans Mailman
  • CERTA-2011-AVI-101 : Multiples vulnérabilités dans Ruby
  • CERTA-2011-AVI-102 : Vulnérabilités dans RedHat Directory Server
  • CERTA-2011-AVI-103 : Vulnérabilité dans ISC Bind
  • CERTA-2011-AVI-104 : Vulnérabilité dans Cisco Firewall Services Module
  • CERTA-2011-AVI-105 : Multiples vulnérabilités dans les logiciels Cisco TelePresence
  • CERTA-2011-AVI-106 : Vulnérabilité dans CA HIPS
  • CERTA-2011-AVI-107 : Vulnérabilité dans Novell Netware
  • CERTA-2011-AVI-108 : Vulnérabilité dans Microsoft Malware Protection Engine
  • CERTA-2011-AVI-109 : Multiples vulnérabilités dans Cisco ASA série 5500
  • CERTA-2011-AVI-110 : Vulnérabilité dans IBM WepSphere Portal

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2011-AVI-079-003 : Vulnérabilité dans plusieurs implémentations de Java (ajout des références au bulletin de sécurité IBM CICS)


Liste des tableaux

Gestion détaillée du document

25 février 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-22