1 Activité en cours
1.1 Ports observés
Le tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 10 et le 17 mars 2005.
Les rejets constatés la semaine précédente sur les ports 12022/tcp et 31511/tcp ont complètement disparu.
Nous remarquons une augmentation des rejets sur le port 42/tcp qui est associé au service WINS (résolution de noms Netbios), ce service faisant l'objet d'une vulnérabilité critique permettant d'obtenir les droits administrateur à distance (avis CERTA-2004-AVI-384).
1.2 Quelques attaques traitées
5 cas de défiguration de site web ont été traités :
- un était relatif à l'exploitation d'une faille du forum phpBB (voir alerte CERTA-2004-ALE-014) ;
- un lié à l'utilisation de droits en écriture laissés par l'administrateur (commande PUT).
Nous n'avons pas d'information quant à la faille exploitée pour les trois autres cas.
Par ailleurs, nous avons été informés de la compromission d'un serveur web sous Linux qui a été utilisé à des fins de « phishing ». Ce serveur a été compromis par l'exploitation d'une faille de phpBB. Cet incident montre bien que les failles des serveurs web ne sont pas utilisées uniquement pour des défigurations.
2 Corruption des caches DNS
Ces dernières semaines, des attaques par corruption de cache DNS (Domain Name System) ont été observées.
Le DNS est le protocole qui permet de faire la correspondance entre le nom d'un domaine ou d'une machine et une adresse IP. Un client DNS va ainsi effectuer une requête auprès d'un serveur DNS. Le protocole de transport utilisé par le protocole DNS est UDP sur le port 53 (et dans certains cas TCP).
Du côté serveur on pourra citer les serveurs DNS bind, djbdns ainsi que le serveur de Microsoft Windows.
Du côté client, des utilitaires d'interrogation de serveurs DNS sont disponibles nativement sur tous les systèmes d'exploitation. Par exemple, sous Microsoft Windows, l'utilitaire nslookup permet d'interroger un serveur DNS afin d'effectuer des résolutions de noms. Sous les UNIX (GNU/Linux, BSD etc), citons par exemple les outils nslookup, host ou dig.
Lorsqu'un client ou un serveur cache DNS adresse une requête à un serveur, il va mémoriser le résultat dans un cache (service Dnscache sous Windows par exemple). Ce mécanisme améliore les performances du protocole.
Les attaques par corruption de cache DNS consistent à ajouter ou modifier une ou plusieurs entrées de ce cache.
Lorsqu'un utilisateur demandera l'adresse IP associée à un nom de domaine (par exemple google.fr) au serveur DNS victime, l'adresse IP renvoyée sera inexacte (IP_du_serveur_Pirate au lieu de 216.239.59.104 par exemple).
Le principe général de la corruption de cache DNS est l'envoi de données complémentaires malicieuses par un serveur DNS sous contrôle d'un pirate à un serveur DNS victime. Le serveur DNS victime va mettre à jour son cache de manière aveugle, en fonction des données envoyées. Lors de la prochaine requête DNS par un utilisateur interrogeant le cache DNS corrompu, l'adresse IP renvoyée sera non pas celle légitime mais celle d'un serveur sous contrôle du pirate.
Une fois la victime redirigée vers le site pirate, plusieurs actions pourront être intentées comme du vol d'information (site à l'allure identique à un site bancaire par exemple), l'installation de code malveillant en exploitant une faille connue du navigateur, etc.
Comme tout applicatif, il est important d'effectuer les mises à jour dès la découverte d'une vulnérabilité et la mise à disposition du correctif.
Tous les serveurs DNS ne sont pas vulnérable à ces attaques.
Dans le cas des serveurs DNS sous Microsoft Windows NT ou Microsoft Windows 2000 on pourra se référer à l'article 241352 de la base de connaissance Microsoft :
http://support.microsoft.com/kb/q241352/
3 Rappel des avis et des mises à jour émis
Durant la période du 14 au 18 mars 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-108 : Vulnérabilité de Microsoft Exchange Server 2003
- CERTA-2005-AVI-109 : Mulitples vulnérabilités dans Novell iChain FTP Server
- CERTA-2005-AVI-110 : Vulnérabilités dans Mysql
- CERTA-2005-AVI-111 : Vulnérabilité de Trillian Basic
- CERTA-2005-AVI-112 : Déni de service sous HP Tru64 Unix
- CERTA-2005-AVI-113 : Vulnérabilité dans les produits Avaya
- CERTA-2005-AVI-114 : Multiples vulnérabilités de xli
- CERTA-2005-AVI-115 : Vulnérabilité dans OpenVMS
- CERTA-2005-AVI-116 : Vulnérabilité dans OpenBSD
- CERTA-2005-AVI-117 : Vulnérabilités dans OpenSLP
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-093-002 : Vulnérabilités dans cURL/libcURL
(ajout de la référence au bulletin de sécurité Gentoo)
- CERTA-2005-AVI-104-001 : Vulnérabilité de libXpm
(ajout référence au bulletin de sécurité Gentoo GLSA 200503-15)
- CERTA-2005-AVI-105-001 : Vulnérabilité de libexif
(ajout référence au bulletin de sécurité de Gentoo)
- CERTA-2005-AVI-117-001 : Vulnérabilités dans OpenSLP
(ajout référence au bulletin de sécurité de Mandrake)