S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 décembre 2007
N° CERTA-2007-ACT-050
Affaire suivie par: CERT-FR
le 14 décembre 2007

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2007-50

Gestion du document

Référence CERTA-2007-ACT-050
Titre Bulletin d’actualité 2007-50
Date de la première version 14 décembre 2007
Date de la dernière version 14 décembre 2007
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Multiplicité de services et conséquences

Le CERTA a traité cette semaine une compromission de serveur liée à la découverte d’un compte à mot de passe faible utilisé pour plusieurs services (SSH, FTP). Jusqu’ici, rien de bien nouveau : un attaquant balaie des plages d’adresses à la recherche de serveurs SSH en écoute sur le port 22/tcp, et pour chaque serveur trouvé, il essaie de nombreuses combinaisons de noms de compte et de mots de passe. Ces attaques sont très fréquentes, il suffit de lire ses journaux pour s’en convaincre.

La particularité de cet incident réside dans le fait que le compte avec le mot de passe faible utilise l’interpréteur de commandes (shell) /bin/false. Autrement dit, lorsque l’attaquant a rejoué les identifiants découverts, il a été immédiatement déconnecté, le système n’étant pas capable de fournir un shell valide.

Là où d’autres auraient abandonné, notre attaquant a persévéré : il a découvert un service FTP en écoute sur le port 21/tcp pour lequel il n’est pas nécessaire de disposer d’un shell valide. L’intrus a donc rejoué les identifiants récupérés sur le serveur lors de l’attaque contre le service SSH pour se connecter en FTP, et a déposé plusieurs fichiers, notamment un shell écrit en PHP.

L’attaque ne s’arrête pas là : un serveur HTTP étant également présent sur le système, l’attaquant a ensuite effectué une connexion sur ce serveur et a appelé le shell PHP précédemment déposé. Cette méthode lui a finalement permis d’obtenir un accès sur le système avec les droits… de l’utilisateur www-data !

Il est important de préciser que les shell PHP sont accessibles par tous et que certains attaquants utilisent des moteurs de recherches pour en découvrir. L’incident que nous venons de décrire a ainsi permis à d’autres intrus de se connecter sur le serveur par l’intermédiaire du shell PHP installé.

Recommandations :

Les recommandations d’usage sont toujours les mêmes : il est généralement conseillé de ne pas concentrer plusieurs services sur une même machine. Il est fréquent de voir des services FTP et/ou SSH sur des serveurs HTTP, souvent pour mettre à jour le contenu Web. Il est toutefois possible de restreindre les plages d’adresses et les comptes autorisés à se connecter, notamment à l’aide de filtrage. Enfin, il est rappelé que l’attaque n’aurait peut-être pas été possible si des mots de passe plus forts avaient été utilisés.

2 SquirrelMail compromis ?

Le site de SquirrelMail annonce que la version 1.4.12 en téléchargement a été compromise et modifiée. En effet, l’empreinte MD5 des versions 1.4.12 téléchargées ne correspondait pas à l’empreinte indiquée sur le site Web. Les développeurs de SquirrelMail ont ainsi découvert que les fichiers en téléchargement avaient été modifiés après avoir été proposés en téléchargement. Selon les développeurs, les modifications des fichiers n’auraient pas de conséquences importantes en termes de sécurité.

Il est toutefois recommandé, pour tous ceux qui auraient téléchargé la version 1.4.12 entre le 08 décembre 2007 et le 13 décembre 2007, de recommencer cette opération et de vérifier que l’empreinte MD5 est bien valide.

Documentation :

3 Mac OS 10.5 est compatible SUSv3

Pour des raisons de compatibilité, Apple a mis l’accent sur la normalisation de son système d’exploitation Mac OS 10.5 et des modifications y ont donc été apportées pour qu’il soit compatible SUSv3 (Single UNIX Specification). Le système repose sur de nombreux projets libres qui n’ont pas les moyens de s’engager dans le processus compliqué de la certification. Ces projets pourront bénéficier des efforts d’Apple, les modifications apportées pouvant être réintégrées aux sources originelles.

3.1 Les effets

Les modifications touchant aussi bien les interfaces de bibliothèques que les commandes shell, cela peut entraîner des dysfonctionnements de certaines applications en fonction de la version du système où elles sont exécutées. Si, dans la majorité des cas, il s’agit d’ajout de fonctionnalités n’affectant pas les anciens programmes, quelques différences, listées et décrites par Apple, peuvent tout de même concerner l’exécution de programmes. Apple propose des moyens de contourner ces différences, soit en utilisant des directives de compilation, soit en utilisant des variables d’environnement forçant la compatibilité ascendante. Par exemple, l’initialisation de la variable COMMAND_MOD=legacy permet de forcer l’ancien comportement des commandes des shell.

Dans les différences notables, la commande ps n’interprète plus de de la même façon l’option -u. Alors que dans la version précédente, elle définissait les informations à afficher (le nom de l’utilisateur et l’heure du lancement du processus), dans la nouvelle version, elle permet de définir l’utilisateur dont on veut voir les processus en cours ( -u[nom]). Ainsi, la commande ps -aux retourne ps: No user named ‘x’. Cependant, il est possible de l’utiliser de l’ancienne syntaxe, en initialisant la variable COMMAND_COM. Ainsi la ligne de commande suivante fonctionne :  COMMAND_COM=legacy ps -aux

3.2 Remarques

Même si Apple fournit un certain nombre de moyens de contournement, un changement de système d’exploitation doit toujours être réfléchi et validé avant d’être déployé. De plus, respecter les normes lors de la réalisation d’un projet est la meilleure façon d’optimiser la compatibilité du développement dans le temps.

4 Vulnérabilités Microsoft

Le CERTA a publié cette semaine 7 avis portant sur des vulnérabilités touchant des produits Microsoft, qui correspondent à des bulletins de sécurité publiés par l’éditeur le mardi 11 décembre. Sur ces 7 bulletins de sécurité, 5 ont un risque d’exécution de code arbitraire à distance. Ces 5 avis concernent les éléments suivants :

  • une vulnérabilité dans le service Message Queuing de Microsoft Windows (MS07-065, CERTA-2007-AVI-536) ;
  • deux vulnérabilités dans Microsoft DirectX (MS07-064, CERTA-2007-AVI-535);
  • une vulnérabilité dans SMBv2 (MS07-063, CERTA-2007-AVI-534) ;
  • une vulnérabilité dans le traitement de fichiers ASF par Windows Media Player (MS07-068, CERTA-2007-AVI-539) ;
  • plusieurs vulnérabilités dans le navigateur Internet Explorer (MS07-069, CERTA-2007-AVI-540).
Enfin, deux avis concernent également des élévations de privilèges, dont la deuxième serait d’ores et déjà exploitée :
  • une vulnérabilité dans le noyau de Windows Vista (MS07-066, CERTA-2007-AVI-537) ;
  • une ancienne vulnérabilité dans le pilote Macrovision (MS07-067, CERTA-2007-AVI-538) ;

Tous les systèmes d’exploitation sont touchés par ces vulnérabilités. Le CERTA recommande l’installation sans délai des correctifs de sécurité.

Par ailleurs, Microsoft a également publié le Service Pack 1 d’Office 2007, qui contient notamment de nombreux correctifs de sécurité.

Documentation

Rappel des avis émis

Dans la période du 03 au 09 décembre 2007, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 14 décembre 2007
    version initiale.