Objet: Bulletin d’actualité 2007-05

1 Activités en cours

1.1 Cacti

Réactivité des attaques suite à l’apparition d’une vulnérabilité :

Le 02 janvier 2007 nous avons publié un avis de sécurité (http://www.certa.ssi.gouv.fr/site/CERTA-2007-AVI-001) concernant une vulnérabilité du logiciel Cacti. Cacti est un logiciel de supervision de l’activité de l’architecture informatique. Ce logiciel était vulnérable à des attaques par injection de requêtes SQL.

L’analyse des fichiers journaux d’un serveur, montre, dès le 29 décembre 2006, des tentatives de connexion à un service Cacti. A partir du 26 janvier 2007, le serveur recevait directement des tentatives d’injection de requêtes SQL, tentant d’exploiter la vulnérabilité de Cacti.

Le CERTA rappelle que la surveillance des fichiers journaux doit faire partie des pratiques naturelles lors de l’exploitation des serveurs. Dès l’apparition d’une vulnérabilité, celle-ci est rapidement exploitée et intégrée dans des outils de balayage, ou scan. Les avis de sécurité du CERTA indiquent où trouver les correctifs de sécurité. Les tentatives d’exploitation de la vulnérabilité doivent être attentivement surveillées au niveau des journaux. Ceux-ci doivent alors être appliqués une fois validés.

2 La reconnaissance vocale sous Windows Vista

2.1 Présentation

Cette semaine, une version du système d’exploitation de Microsoft Windows, nommée Vista, est apparue dans le commerce en France.

Elle offre plusieurs fonctionnalités, dont l’une faisait grand bruit médiatique, avant même sa sortie : il s’agit de la reconnaissance vocale, ou Speech Recognition.

Ce service permet avec la voix et l’aide d’un microphone, de lancer des commandes, ouvrir des applications, écrire des documents, etc.

Il ne nécessite pas un étalonnage très strict, ce qui présente moins de contraintes liées à l’utilisation.

Le service n’est pas activé par défaut à l’installation de Windows Vista. Il le sera après sa configuration par

démarrer => Tous les programmes => Accessoires =>

Options d’ergonomie => Reconnaissance Vocale de Windows.

Une vulnérabilité a été identifiée cette semaine, associée à ce service. Il prendrait en compte le signal restitué par les haut-parleurs. Des exemples ont montré qu’il était possible, lors de la navigation sur une page Web pointant vers des fichiers contenant du son, d’exécuter des commandes sur la machine, à l’insu de l’utilisateur.

Cette vulnérabilité, déjà rencontrée sous un autre système d’exploitation, permettrait à une personne malveillante d’exécuter des commandes, soit par le biais de fichiers audio diffusés (envoyés par courrier électronique, téléchargés, etc.), soit au cours de la visite de pages Web.

Cette vulnérabilité n’est pas, à la date de la publication de ce bulletin, corrigée par l’éditeur Microsoft.

2.2 Recommandations du CERTA

Le CERTA rappelle à cet égard quelques bonnes pratiques qui restent valables :

• Vérifier que la reconnaissance vocale est désactivée par défaut : elle se manifeste par l’entrée sapisvr.exe dans le gestionnaire de tâches.
• Désactiver, ou mieux, débrancher le microphone quand celui-ci n’est pas nécessaire ;
• Naviguer sur des sites de confiance, avec un navigateur correctement configuré (par défaut, l’interprétation des codes ActiveX, Java et Javascript doit être désactivée) ;
• N’ouvrir que des documents de confiance ;
• Avoir un système et un antivirus mis à jour ;
• Ouvrir par défaut une session sans droit d’administration particulier.

De manière générale, il est toujours préférable, en terme de sécurité du moins, de patienter un peu avant de se lancer dans l’installation opérationnelle d’un produit « tout beau tout neuf », qu’il s’agisse d’un système d’exploitation, d’un navigateur, ou d’un autre logiciel.

3 Les systèmes d’exploitation sur appareil mobile

3.1 Le problème

Il existe de nombreux dispositifs nomades (téléphone mobile, assistant personnel numérique, etc.) qui utilisent des systèmes d’exploitation, comme par exemple Microsoft Windows Mobile, Symbian, PalmOS, Linux. Il s’agit de versions adaptées au matériel.

De la même manière que leur grand frère sur PC, ces systèmes d’exploitation embarqués peuvent également souffrir de vulnérabilités. Si la procédure de mise à jour est très souvent automatique dans un cas, elle l’est beaucoup moins dans l’autre.

Les éditeurs ne corrigent pas systématiquement les vulnérabilités affectant les systèmes d’exploitation pour appareil mobile ; ou sinon, suite à une mise à jour corrigeant une liste cumulée de failles, cela peut impliquer une réinstallation complète du système. Dans cette dernière situation, il se peut aussi que l’appareil perde sa guarantie, plaçant l’utilisateur dans un cruel dilemme.

Dans tous les cas, la mise à jour de ces systèmes d’exploitation est un problème complexe pour l’utilisateur.

A valeur d’illustration, deux vulnérabilités, affectant Microsoft Windows Mobile 5.0, Windows 2003 et Windows CE, ont été annoncées cette semaine. Elles permettraient à un utilisateur distant malintentionné de provoquer un déni de service de l’appareil. Par exemple, certaines images au format .JPEG construites de manière spéciale pourraient, par le biais de l’application Images & Vidéos, bloquer l’utilisation normale de l’appareil pendant plusieurs minutes.

Ces éléments réunis font que cette catégorie d’appareil mobile, vulnérables et aux mises à jour hasardeuses ou inexistantes, présentent un risque conséquent pour les systèmes d’informations auxquels ils sont connectés, quelles qu’en soient les motivations :

• pour synchroniser l’agenda ou sa liste de contacts ;
• pour télécharger et mettre à jour un ensemble de documents ;
• pour lire des fichiers multimédias audio ou vidéos ;
• pour installer de nouvelles applications ;
• etc.

Ce problème doit être pris en considération dans la politique de sécurité des systèmes d’information.

3.2 Documentation

• Bulletins de sécurité TrendMicro :

  http://blog.trendmicro.com/trend-micro-finds-more-windows-mobile-flaws/
  

4 Problèmes de configuration

Une récente vulnérabilité dans Cisco IOS permet à un utilisateur malintentionné de provoquer un déni de service au moyen d’un paquet SIP (pour Session Initiation Protocol) malformé. Cette vulnérabilité n’affecte que les équipements qui offrent le support du protocole SIP avec une configuration par défaut. Cette vulnérabilité ne toucherait pas les périphériques dont le service a été correctement configuré.

Tout service offert pas un système d’information doit avoir été configuré au préalable, ou il n’a pas raison d’être. Les configurations par défaut sont parfois beaucoup trop laxistes en matière de sécurité : on y retrouve des comptes par défaut, des mots de passe par défaut, des interface(s) et/ou port(s) d’écoute(s) par défaut, etc. De tels services ainsi configurés, souvent par facilité ou par négligeance, offrent une très bonne opportunité à un utilisateur distant malintentionné de compromettre un système d’information.

5 Month Of Apple Bugs

Voici pour cette semaine les vulnérabilités sur les produits Apple publiées par le projet « Month Of Apple Bugs » :

• Une vulnérabilité le système d’installation de logiciel de Apple MacOS X permettrait de provoquer un déni de service ou léxécution de code arbitraire ;
• une erreur dans la mise en œuvre de la fonctionnalité Bonjour de iChat permettrait de provoquer un déni de service à distance.

5.1 Réflexions sur la visite de sites

De manière générale, il est à noter que la consultation de sites relevant de la mise à disposition de codes de démonstration comme le projet « MOAB » doit être à éviter. En effet, la vulnérabilité testée par le code mis à disposition peut cacher l’exploitation d’une autre faille non documentée et dont la finalité ne sera pas forcement le simple « test » de vulnérabilité. Il convient donc d’être très prudent vis-à-vis de ce type de sites.

De la même façon, le site hébergeant le code de démonstration ou d’exploitation peut lui-même contenir du code malveillant. Ce cas s’est produit au cours du projet « MOAB », où une image jpeg2000 spécialement construite perturbait le navigateur Safari, à l’ouverture de la page Web. Celle-ci contenait les lignes suivantes :

 <_img bug-files/heat-up.jp2 alt= » » height= »1″ width= »1″ />
<!– Never use the macbook at bed again when browsing the MoAB … –>

Rappel des avis émis

Dans la période du 22 au 28 janvier 2007, le CERT-FR a émis les publications suivantes :

• CERTA-2007-AVI-042 : Vulnérabilité de BitDefender Client Professional Plus
• CERTA-2007-AVI-043 : Vulnérabilité de Check Point Connectra
• CERTA-2007-AVI-044 : Multiples vulnérabilités de BEA WebLogic
• CERTA-2007-AVI-045 : Vulnérabilité dans Cahier de Texte
• CERTA-2007-AVI-046 : Vulnérabilité dans Sun Solaris
• CERTA-2007-AVI-047 : Multiples vulnérabilités dans les produits BrightStor ARCserve Backup
• CERTA-2007-AVI-048 : Vulnérabilité de Sun Ray Server Software
• CERTA-2007-AVI-049 : Vulnérabilité dans Linux-PAM
• CERTA-2007-AVI-050-001 : Vulnérabilités de certaines couches protocolaires dans Cisco IOS
• CERTA-2007-AVI-051 : Vulnérabilités dans Apache sur HP-UX
• CERTA-2007-AVI-052 : Vulnérabilité dans Citrix Metaframe Presentation Server
• CERTA-2007-AVI-053 : Vulnérabilité de Symantec Web Security
• CERTA-2007-AVI-054 : Vulnérabilités du module Project de Drupal
• CERTA-2007-AVI-055-003 : Vulnérabilité de GTK2
• CERTA-2007-AVI-056-006 : Vulnérabilité du serveur DNS BIND
• CERTA-2007-AVI-057 : Vulnérabilités sur Hitachi Web Server
• CERTA-2007-AVI-058 : Vulnérabilités sur CA firewall
• CERTA-2007-AVI-059 : Vulnérabilité dans Trend Micro VirusWall
• CERTA-2007-AVI-060 : Vulnérabilité dans PHP

Durant la même période, les publications suivantes ont été mises à jour :

• CERTA-2006-AVI-516-002 : Vulnérabilité de GNU tar
• CERTA-2007-ALE-001 : Vulnérablité dans Apple Quicktime
• CERTA-2007-AVI-013-001 : Plusieurs vulnérabilités dans le navigateur Opera
• CERTA-2007-AVI-037-001 : Vulnérabilités de BEA AquaLogic