Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-005

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 01 février 2013
No CERTA-2013-ACT-005

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-005


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-005

1 Porte dérobée dans les produits Barracuda

Des chercheurs en sécurité ont récemment révélé la présence de « portes dérobées » dans certains produits de Barracuda Networks (CERTA-AVI-2013-064) qui autorisent une connexion entrante (SSH) avec un compte par défaut, en provenance de certaines adresses filtrées:
  • adresses privées (192.168.200.0/24, 192.168.10.0/24) ;
  • adresses publiques (205.158.110.0/24, 216.129.105.0/24).
Ces règles de filtrage autorisent les connexions en provenance du réseau interne et en provenance d'adresses publiques censées appartenir à l'éditeur. Il s'est avéré que certaines des adresses publiques autorisées sont enregistrées par d'autres sociétés. Il est donc possible pour un attaquant de se connecter à partir d'une de ces adresses (y compris depuis l'éditeur) afin de pouvoir utiliser le compte par défaut et se connecter sur les équipements.

Le CERTA recommande l'application immédiate du correctif de sécurité fourni par le constructeur pour palier cette vulnérabilité.

1.1 Documentation

2 Vulnérabilités dans plusieurs bibliothèques UPnP

Le protocole Universal Plug and Play (UPnP) est employé pour faciliter les communications entre les différents périphériques connectés à un réseau. Lors de la connexion d'un équipement, la première action menée est de procéder à la découverte de son environnement. Elle permet d'identifier les services déjà proposés. Cette découverte est basée sur le protocole Simple Service Discovery Protocol (SSDP). SSDP communique en utilisant le protocole UDP vers des addresses unicast ou multicast et à destination du port 1900.

La bibliothèque libupnp contient plusieurs failles de sécurité dans la gestion des données relatives à SSDP. Sur les versions 1.3.1 à 1.6.18 on dénombre un total de 8 vulnérabilités dont les références sont : CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964, CVE-2012-5965.

Par exemple, les failles CVE-2012-5958 et CVE-2012-5959 sont dues à une mauvaise utilisation de la fonction strncpy. Même si l'utilisation de cette fonction est généralement préconisée, contrairement à son équivalent strcpy (ne demandant pas le nombre d'octets à copier), elle est dans ce cas mal utilisée. En effet, elle est appelée avec une chaîne de caractères et une longueur déduite des données provenant du réseau, donc manipulable. En envoyant des données spécialement conçues, un attaquant pourra prendre le contrôle de l'équipement au moyen d'une vulnérabilité de type débordement de mémoire tampon sur la pile.

Une fois la phase de découverte réalisée à l'aide de SSDP, le protocole UPnP utilise des requêtes Simple Object Access Protocol (SOAP) pour communiquer avec les autres périphériques du réseau. Ce protocole repose sur l'envoi de requêtes XML au travers de HTTP.

Ce protocole est implémenté par une autre bibliothèque: MiniUPnP. Dans cette implémentation, l'utilisation conjointe de la fonction memcpy (permettant de copier des données d'un tampon à l'autre) et des données provenant du réseau provoque un débordement de tampon dans la pile (CVE-2013-0230).

Enfin, et toujours dans l'implémentation du protocole SOAP, il aurait été récemment découvert des vulnérabilité pour des composants embarqués de type routeur. Ces composants peuvent se retrouver dans des produits de différents équipementiers ce qui les rendraient ainsi vulnérables.

Le CERTA rappelle que le protocole UPnP n'a pas vocation à être accessible depuis Internet. Son accès depuis l'extérieur peut poser, en plus des éléments présentés précédemment, d'autres problématiques. La nature même du protocole permettant, par exemple, l'ouverture de ports arbitraires vers le LAN depuis la passerelle de connexion à Internet fait de l'équipement une cible de choix pour l'attaquant.

Le CERTA recommande donc à ses lecteurs de désactiver ce protocole sur leurs différents équipements réseau. Si une désactivation n'est pas envisageable, il est essentiel de s'assurer que son utilisation est restreinte aux réseaux locaux de confiance ainsi que de mettre à jour les équipements impactés.

Documentation

3 Sécurité des sytèmes de télésurveillance

De plus en plus fréquemment, les systèmes de vidéosurveillance embarquent des technologies de communication sur IP avec une capacité de contrôle et d'accès à distance.

À l'instar du produit SecureView de TRENDnet, dont la dernière vulnérabilité, objet de l'avis CERTA-2013-AVI-063, n'a été corrigée par l'éditeur qu'un an après sa divulgation sur Internet, il convient d'avoir à l'esprit que ces produits ne sont pas exempts de vulnérabilités, amplifiées par leur exposition sur Internet.

Durant cette période, il était donc possible pour un attaquant d'accéder aux caméras de surveillance d'une société ou d'un particulier utilisant ce produit, sans qu'aucune autre solution que la désactivation du système ne puisse y pallier.

D'une manière générale, le CERTA recommande de faire preuve de vigilance, quant à l'usage de produits de sécurité fonctionnant sur IP et administrable à distance. Ces produits doivent faire l'objet d'une intégration à la PSSI de l'entreprise, d'un suivi au niveau des mises à jour de sécurité et ne devraient jamais être directement accessibles sur Internet, sans authentification forte et sans utilisation d'un tunnel chiffré.

Documentation

4 Nouvelles publications de l'ANSSI

Suite à l'appel à commentaires (cf. CERTA-2012-ACT-040), l'ANSSI a publié la version finale du guide d'hygiène informatique. Ce guide propose quarante recommandations simples pour sécuriser un système d'information et protéger le patrimoine de l'entreprise.

Un référentiel métier de l'architecte référent en sécurité des systèmes d'information a également été publié. L'objectif de ce document est de définir les compétences de l'architecte référent en sécurité des systèmes d'information, ou « ARSSI », par le biais d'un référentiel métier. Ce référentiel peut notamment être utilisé pour définir des formations adéquates ou autoévaluer son niveau de qualification et de pratique.

Documentation


5 Rappel des avis émis

Dans la période du 25 janvier au 01 février 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-AVI-063 : Vulnérabilité dans les caméras TRENDnet
  • CERTA-2013-AVI-064 : Multiples vulnérabilités dans les produits Barracuda Networks
  • CERTA-2013-AVI-065 : Vulnérabilité dans F5 BIG-IP
  • CERTA-2013-AVI-066 : Multiples vulnérabilités dans Nagios
  • CERTA-2013-AVI-067 : Multiples vulnérabilités dans WordPress
  • CERTA-2013-AVI-068 : Multiples vulnérabilités dans IBM InfoSphere BigInsights
  • CERTA-2013-AVI-069 : Vulnérabilité dans ISC BIND
  • CERTA-2013-AVI-070 : Vulnérabilité dans Cisco Adaptive Security Appliances
  • CERTA-2013-AVI-071 : Vulnérabilité dans Hitachi Cosminexus
  • CERTA-2013-AVI-072 : Vulnérabilité dans le système SCADA Siemens S7
  • CERTA-2013-AVI-073 : Multiples vulnérabilités dans libupnp
  • CERTA-2013-AVI-074 : Vulnérabilité dans Ruby On Rails
  • CERTA-2013-AVI-075 : Multiples vulnérabilités dans Apple iOS
  • CERTA-2013-AVI-076 : Multiples vulnérabilités dans Apple TV
  • CERTA-2013-AVI-077 : Vulnérabilité dans Cisco Carrier Routing System
  • CERTA-2013-AVI-078 : Vulnérabilités dans Cisco Portable SDK for UPnP Devices
  • CERTA-2013-AVI-079 : Vulnérabilité dans EMC AplhaStor
  • CERTA-2013-AVI-080 : Multiples vulnérabilités dans IBM WebSphere Message Broker
  • CERTA-2013-AVI-081 : Multiples vulnérabilités dans Opera
  • CERTA-2013-AVI-082 : Multiples vulnérabilités dans IBM InfoSphere Information Server Suite
  • CERTA-2013-AVI-083 : Vulnérabilité dans VideoLAN VLC media player

Gestion détaillée du document

01 février 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23