S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 24 novembre 2006
N° CERTA-2006-ACT-047
Affaire suivie par: CERT-FR
le 24 novembre 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-47

Gestion du document

Référence CERTA-2006-ACT-047
Titre Bulletin d’actualité 2006-47
Date de la première version 24 novembre 2006
Date de la dernière version 24 novembre 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Attaques sur Joomla!

Le CERTA a été informé d’une recrudescence des attaques sur les composants de Joomla! (Joomla! et Mambo sont des gestionnaires de contenu web très populaires). La méthode d’attaque n’est pas nouvelle, les vulnérabilités de ce type (php include) ayant déjà été massivement recherchées (notamment par des vers) dans le but de réaliser des défigurations. Dans ces récentes attaques, la finalité est différente : il s’agit d’exécuter des commandes (wget, fetch, curl, etc.) dans le but de télécharger puis d’exécuter un robot irc écrit en perl. Les machines ainsi compromises sont transformées en zombis ayant la capacité de réaliser des dénis de service.

Quelques serveurs irc sont utilisés pour le pilotage de ces réseaux de robots. Le CERTA a pu en identifier certains, mais il n’y a aucun doute sur le fait que de nouveaux serveurs vont prochainement être utilisés dans le cadre de ces attaques. Toutefois, toute connexion à destination des domaines suivants peut être douteuse :

  • albapower.by.ru
  • germanos.ma.cx
  • www.yagenoysentoplesen.com
  • ba.yagenoysentoplesen.com
  • netfull.com.ar
  • ole.netfull.com.ar

Recommandations :

Le CERTA recommande de réfléchir à l’utilité réelle des composants pour Joomla! et Mambo, car beaucoup d’entre eux contiennent des vulnérabilités facilement exploitables et pour lesquelles il n’existe pas forcément de correctif. Ce sont ces vulnérabilités qui rendent les attaques réalisables.

Il est aussi possible de mettre en place un filtrage pour empêcher les serveurs web de réaliser des connexions sortantes. Ces mesures de filtrage ne règlent pas le fond du problème (à savoir la présence de vulnérabilités sur le serveur), mais limitent fortement l’impact des compromissions. Dans la plupart des attaques analysées, l’intrus utilise les possibilités de connexions sortantes pour récupérer ses outils.

Enfin, il est suggéré de lire les journaux et de rechercher d’éventuelles connexions vers les machines indiquées précédemment, et de contacter le CERTA en cas de découverte d’une telle activité.

2 Cartes postales électroniques

Un incident récent nous rappelle que l’envoi de carte postale électronique, pas seulement de voeux, est un vecteur de propagation des virus, chevaux de Troie ou autres contenus malveillants.

Il est donc nécessaire, à l’approche des fêtes de fin d’année, de renforcer la vigilance et de sensibiliser les utilisateurs. La note CERTA-2000-REC-002 rappelle quelques précautions à prendre lors de la réception de tels messages.

Les webmestres dont les sites proposent des cartes postales sont fortement invités à vérifier l’intégrité des fichiers qu’ils proposent.

3 Gestion des mots de passe avec les navigateurs

Le gestionnaire de mots de passe de Firefox ne vérifie pas correctement l’adresse à laquelle un formulaire d’authentification renvoie des identifiants. Activé, il peut remplir le formulaire, présenté par un site piégé, mais renvoyant l’identifiant et le mot de passe sur un site malveillant. Les sites où les internautes peuvent ajouter du code HTML (blogs, sites coopératifs) peuvent facilement être détournés à ces fins. Cette vulnérabilité aurait été notamment exploitée sur le site de MySpace. Les autres navigateurs (Netscape, Internet Explorer) peuvent être affectés par cette vulnérabilité.

Recommandations :

Il est déconseillé d’utiliser les gestionnaires de mots de passe des navigateurs. D’autre part, il est suggéré d’utiliser des identifiants différents pour chaque site web proposant un service avec authentification.

4 ActiveX et Internet Explorer

Le CERTA a été informé de nouvelles vulnérabilités liées aux ActiveX sous Microsoft Internet Explorer. Ces failles permettent l’exécution de code arbitraire à distance. Une fois de plus le CERTA recommande de désactiver par défaut l’exécution de tous les contrôles ActiveX pour la navigation sur l’Internet. Les sites de confiance, tels que *.update.microsoft.com, nécessitant l’activation des contrôles ActiveX, peuvent être ajoutés dans la section Sites de confiance. Afin de désactiver l’exécution des contrôles ActiveX sous Microsoft Internet Explorer :

  • aller dans la section Options Internet du menu Outils ;
  • dans l’onglet Sécurité, sélectionner Internet puis Personnaliser le niveau ;
  • sous la section Contrôles ActiveX et plugins sélectionner Désactiver pour l’ensemble des options.

Pour ajouter des sites autorisés à exécuter des contrôles ActiveX sous Microsoft Internet Explorer :

  • aller dans la section Options Internet du menu Outils ;
  • dans l’onglet Sécurité, sélectionner Sites de confiance puis cliquer sur le bouton Sites ;
  • inscrire l’adresse réticulaire du site à ajouter et appuyer sur le bouton Ajouter.

Rappel des avis émis

Dans la période du 13 au 19 novembre 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 24 novembre 2006
    version initiale.