1 Incidents de la semaine
Cette semaine, le CERTA a traité un cas de phishing. Le site victime de l'intrusion avait été, quelques jours auparavant, attaqué suite à l'exploitation d'une faille du composant optionnel com_profiler de Joomla!. Le résultat de cette première attaque était une modification de page. La vulnérabilité exploitée était connue et corrigée en 2006, et ni le composant, ni le gestionnaire de contenu n'étaient à jour.
Si le scénario de défiguration, suivie quelques jours plus tard de l'installation d'un site de phishing, est relativement habituel, il convient de préciser que ce schéma a été rendu possible avant tout parce que le RSSI était en vacances. En effet, le tout premier incident n'a pas été correctement traité, faute de personne idoine disponible.
Le CERTA recommande donc aux RSSI de prévoir et former des personnels en vue d'assurer une continuité de service pour les périodes de congés ou de longue absence, prévue ou imprévue. Ce ou ces suppléants, et leur rôle, doivent être connus au sein de l'organisme (annuaire SSI).
2 Cisco Lightweight Access Point : insécurité à la mise en service
2.1 Vulnérabilité publiée
Dans une architecture de réseau Cisco comprenant une portion en WiFi, des équipements de type Lightweight Access Point (LAP) peuvent être installés. Ils sont alors reliés à un équipement Wireless LAN Controller (WLC) offrant des fonctions d'administration du réseau. Lors de sa mise en route, un LAP qui n'a pas été configuré va utiliser le protocole OTAP pour s'associer à un WLC.
En l'absence de protection native, cette association peut être détournée par un attaquant pour empêcher le LAP de s'associer avec le WLC légitime. Cette fenêtre d'opportunité est étroite pour un attaquant, mais elle existe.
Le fabricant a émis un bulletin de sécurité pour rappeler cette vulnérabilité non corrigée qui concerne les équipements Cisco Lightweight Wireless Access Point des séries 1100 and 1200.
2.2 Contournements et recommandations
L'opportunité d'attaque peut être supprimée si l'administrateur du réseau configure le LAP avant sa mise en route sur le réseau :
- en utilisant une liste de contrôleurs (WLC) ;
- en utilisant un mécanisme à clef publique d'authentification des équipements (LSC).
En complément, l'administrateur peut se tourner vers la détection de WLC non légitimes. Il lui est également recommandé de surveiller les journaux des équipements du réseau et des serveurs.
2.3 Documentation
- Bulletin de sécurité Cisco 18919 du 25 août 2009 :
http://tools.cisco.com/security/center/viewAlert.x?alertId=18919
- Référence CVE CVE-2009-2861 :
https://www.cve.org/CVERecord?id=CVE-2009-2861
- Document Cisco d'utilisation du mécanisme LSC :
http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a0080a99e23.shtml
- Document Cisco de détection des WLC non légitimes :
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_white_paper09186a0080722d8c.shtml
3 Le virus est dans le compilateur
Il y a quelques jours, des éditeurs de solutions antivirus ont découvert un nouveau code malveillant à la technique de propagation originale, baptisé par certains Win32/Induc. Ce virus a la particularité de compromettre les compilateurs du langage de programmation Delphi. Une fois installé, le code malveillant se propage en s'intégrant à tous les programmes compilés à l'aide du logiciel compromis. Dans les versions actuelles aucune charge utile n'est intégrée, le code se contente de se propager.
Afin de savoir si le compilateur est compromis, il suffit de contrôler si le fichier sysConst.pas est présent dans le répertoire lib situé à la racine du répertoire d'installation du compilateur. Si le compilateur est compromis, tous les programmes créés par le compilateur sont potentiellement infectés par ce code malveillant.
Le CERTA recommande aux développeurs de supprimer complètement le compilateur, de le réinstaller et de recompiler toutes les applications. Il est important de ne pas exécuter les applications compromises afin de ne pas infecter de nouveau le compilateur. Il est impératif ensuite de rediffuser les applications saines afin de ne pas entretenir la propagation du code malveillant.
