Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-012

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 22 mars 2013
No CERTA-2013-ACT-012

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-012


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-012

1 Rootkit SSHD

Depuis quelques semaines, le CERTA constate qu'un « rootkit », affectant le service SSH, est largement utilisé sur des serveurs compromis.

Les attaquants, ayant préalablement obtenu les droits d'administrateur, modifient la bibliothèque «libkeyutils» utilisée par le service SSH en la remplaçant par une version malveillante (libkeyutils.so.1.9). Cette dernière modifie les fonctions d'authentification du service SSH afin d'enregistrer les identifiants et mots de passe des utilisateurs qui se connectent en SSH. Les informations d'authentification ainsi récoltées sont ensuite envoyées à l'attaquant sur un nom de domaine généré dynamiquement. Dans le cas où ce domaine est injoignable les informations sont alors envoyées sur une adresse IP fixe.

Afin de révéler une éventuelle compromission, il est nécessaire de vérifier l'intégrité de la bibliothèque « libkeyutils ». Cela peut se faire grâce à des commandes comme « rpm -qf » ou « debsums » selon la distribution de linux concernée.

Il est important de noter que le vecteur initial d'infection de ces serveurs n'est pas encore connu à ce jour. Dans le cas d'une compromission par ce rootkit, le CERTA recommande de réinstaller le serveur ainsi que de changer les mots de passe des utilisateurs qui se sont authentifiés sur celui-ci.

De manière préventive, il est nécessaire de :

  • recourir à de l'authentification forte pour le service SSH (mots de passe + clé privée) ;
  • mettre en place une liste blanche d'adresses IP autorisées à se connecter en SSH ;
  • interdire l'accès root en SSH.

Documentation

2 Compromission massive d'équipements connectés à Internet

Un chercheur en sécurité informatique a récemment publié les résultats d'un balayage exhaustif d'Internet.

Pour réaliser cette opération gourmande en ressources, il s'est appuyé sur un réseau de machines et d'équipements tiers qu'il a pu compromettre à cause de comptes protégés par des mots de passe trop faibles.

Lors d'un premier balayage, il a été en mesure d'identifier plusieurs centaines de milliers d'équipements ayant un accès telnet ou ssh ouvert à tous, et qui acceptaient un mot de passe trivial pour le compte administrateur. Il a ensuite installé sur ces machines compromises une infrastructure distribuée capable de tester très rapidement l'ensemble des adresses IP existantes, afin d'établir une cartographie détaillée d'Internet.

Lors de ses investigations, le chercheur a rencontré d'autres programmes manifestement malveillants sur certains des équipements qu'il utilisait, vraisemblablement compromis de la même manière. Il note également la présence en grand nombre de systèmes de contrôle industriel vulnérables, et potentiellement critiques.

Le CERTA profite de cette illustration pour renouveler ses appels à la prudence lors de l'installation d'équipements connectés à Internet. Les actions effectuées par ce chercheur sont illégales, mais le détournement d'équipements vous appartenant pourrait engager votre responsablité juridique si une négligence dans leur protection pouvait être démontrée.

Afin de pallier ces vulnérabilités, il convient de désactiver les accès d'administration sur les interfaces publiques, ou d'en restreindre l'accès via un pare-feu. Il est également primordial de systématiquement changer les mots de passe par défaut et d'utiliser des mots de passe forts.

Documentation

3 Mise à jour sur iOS

Cette semaine, Apple a publié une mise à jour de son système d'exploitation iOS. Plusieurs vulnérabilités corrigées permettent de débloquer (« jailbreaker ») les périphériques Apple ou de contourner l'écran de verrouillage.

À noter que, pour mener à bien ce « jailbreak », un accès physique est nécessaire et qu'il ne peut donc être réalisé à distance. Le CERTA rappelle que l'utilisation de ce type de déblocage permet de désactiver l'ensemble des protections de sécurité mises en place par Apple, ce qui augmente significativement leur surface d'attaque et expose le reste du système d'information.

Le CERTA recommande de déployer cette mise à jour dès que possible sur les terminaux concernés.

Documentation


4 Rappel des avis émis

Dans la période du 15 au 21 mars 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-AVI-186 : Multiples vulnérabilités dans Apple Safari
  • CERTA-2013-AVI-187 : Multiples vulnérabilités dans Apple OS X Mountain Lion
  • CERTA-2013-AVI-188 : Multiples vulnérabilités dans Ubuntu Apache2
  • CERTA-2013-AVI-189 : Multiples vulnérabilités dans le noyau Linux d'Ubuntu
  • CERTA-2013-AVI-190 : Multiples vulnérabilités dans Mandriva Enterprise Server
  • CERTA-2013-AVI-191 : Multiples vulnérabilités dans ClamAV
  • CERTA-2013-AVI-192 : Vulnérabilité dans RealNetworks RealPlayer
  • CERTA-2013-AVI-193 : Multiples vulnérabilités dans Ruby on Rails
  • CERTA-2013-AVI-194 : Multiples vulnérabilités dans Apple TV
  • CERTA-2013-AVI-195 : Multiples vulnérabilités dans Apple iOS
  • CERTA-2013-AVI-196 : Vulnérabilité dans CA SiteMinder

Gestion détaillée du document

22 mars 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-08-22