1 Activité en cours
1.1 Incident traité
Cette semaine le CERTA a traité un incident concernant un reverse-proxy en protection d'un serveur HTTP. Un problème de configuration a fait, qu'au lieu d'être proxy vers ce seul serveur HTTP, le relais était ouvert vers les serveurs web du monde entier. Beaucoup d'individus sur la toile sont friands de ce type de relais (recherche d'anonymisation, « spam »,...) et il y a des balayages permanents à la recherche de serveurs ouverts. Le proxy s'est retrouvé saturé, incapable d'honorer les requêtes légitimes et le site protégé s'en est trouvé inaccessible. Parmi les clients indésirables a même été identifiée une société commercialisant un balayeur de proxies ouverts et des listes de serveurs identifiés. En tout état de cause, le proxy a très bien pu être utilisé pour réaliser des actions répréhensibles. Il est alors souhaitable, dans un tel cas de figure, d'envisager un dépôt de plainte et au moins de procéder à la sauvegarde et à l'archivage des journaux du proxy.
1.2 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 22 et le 29 décembre 2005.
2 Vulnérabilité de Microsoft Windows
Celle-ci affecte le moteur de rendu graphique de Windows. Il s'agit d'un défaut de sécurité dans le composant qui permet de voir des images et des télécopies. Cela peut être par exemple le cas de la visualisation d'images au format wmf insérées dans un message. Il apparaît que cette vulnérabilité n'est pas limitée aux seules applications Microsoft (comme Internet Explorer ou Outlook) mais concerne l'ensemble des applications qui utilisent le moteur de rendu graphique de Windows. On peut citer par exemple « Google Desktop » ou "Lotus Notes". Il existe déjà de nombreux sites web hébergeant le code malveillant. Le CERTA a émis une alerte à ce sujet : http://www.certa.ssi.gouv.fr/site/CERTA-2005-ALE-019.pdf. Le CERTA estime que les risques d'utilisation massive de cette vulnérabilité sont élevés compte tenu de la facilité de mise en œuvre de l'attaque et préconise dans l'alerte du 29 décembre un moyen de contournement en attendant la diffusion d'un correctif par l'éditeur.
3 Vulnérabilité dans IIS 5.1 de Microsoft
Une vulnérabilité, non corrigée, présente sur Internet Information Services 5.1 de Microsoft peut être exploitée afin de causer un déni de service à distance. Cette vulnérabilité est due à une erreur dans le traitement de certaines adresses réticulaires (url) malicieusement construites. Des codes d'exploitations sont d'ores et déjà disponibles sur l'Internet. La version 5.1 d'IIS est livrée uniquement avec les versions de Microsoft Windows XP Professional. L'installation par défaut du système d'exploitation n'inclut pas le serveur web IIS. Dans l'attente d'une mise à jour de sécurité, voici quelques contournements provisoires :- Filtrer les requêtes HTTP contenant à la fin le caractère '˜' (tilde) suivis d'un chiffre ;
- modifier les droits d'exécutions de tous répertoires (sauf si indispensable) de manière à ce que les scripts ne soient pas exécutables ;
exemple : http://[site cibl�]/[r�pertoire 'scripts&ex�cutables']/*\~8Remarque : les deux caractères avant le tilde peuvent êtrearbitrairement choisis.
4 Liens utiles
- Note d'information pour sur les systèmes obsolètes ;
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003/index.html
- Note d'information pour limiter l'impact du SPAM ;
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004/index.html
- Unix security checklist version 2.0 du 8 octobre 2001 (Publication du CERT australien)
http://www.auscert.org.au/render.html?it=1935
5 Rappel des avis et mises à jour émis
Durant la période du 22 au 29 décembre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-505 : Multiples vulnérabilités dans HP-UX
- CERTA-2005-AVI-506 : Multiples vulnérabilités dans Cisco IOS
- CERTA-2005-AVI-507 : Vulnérabilité sur Bugzilla
- CERTA-2005-AVI-508 : Vulnérabilité sur Sun Solaris Netlink
- CERTA-2005-AVI-509 : Vulnérabilité dans udev
- CERTA-2005-AVI-510 : Multiples vulnérabilités dans MailEnable
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-400-003 : Faiblesse dans OpenSSL 0.9.x
(ajout de la référence à l'avis de sécurité Cisco)
- CERTA-2005-AVI-487-002 : Vulnérabilité de Ethereal
(ajout de la référence au bulletin de sécurité Ethereal)
- CERTA-2005-AVI-497-001 : Mise à jour des noyaux des distributions Linux
(ajout de la référence CVE CAN-2005-3660)