1 Bilan de l'année
L'année 2011 s'achève. Naturellement, c'est donc le moment des bilans et des bonnes résolutions ! Comme tous les ans, l'année a été particulièrement riche dans le domaine de la SSI. Cette année, le traitement d'infections de grandes ampleurs au sein de réseaux (administration, OIV, ...) constitue probablement un tournant important dans nos activités. Sans partir dans des élucubrations, il s'agit, dans de nombreux cas traités, d'affaires d'espionnage industriel ou économique de grandes ampleurs. Les attaquants compromettent puis s'installent durablement dans les réseaux afin de collecter toutes les données qui les intéressent.
L'année 2011 a aussi été marquée par une augmentation du nombre d'avis publiés par le CERTA. Pas moins de 730 avis et 8 alertes ont ainsi été diffusés. Les attaques exploitant des vulnérabilités présentes dans les formats bureautiques ont encore eu beaucoup d'impacts. Le CERTA a pu constater dans les incidents qu'il est amené à traiter la forte augmentation d'attaques par le biais de fichiers PDF. Aussi, en cette fin d'année, il ne faut pas relâcher sa vigilance lors de l'ouverture de certains courriels et des traditionnelles cartes de vœux électroniques. Il est important de noter qu'à la date d'écriture de cet article, une alerte est toujours en cours sur une faille PDF critique non corrigée dans les produits Adobe Acrobat X et Adobe Reader X (CERTA-2011-ALE-008).
Les attaques visant l'atteinte à la disponibilité (déni de service) ont aussi été pléthoriques cette année. Il est important dans notre domaine de pouvoir anticiper de telles menaces. La protection contre les attaques en DDoS (déni de service distribué) illustre parfaitement ce principe, car si des solutions de protection existent et sont maintenant relativement matures, elles sont toutefois extrêmement complexes à mettre en œuvre dans le feu de l'action et doivent donc être impérativement anticipées.
D'un point de vue plus organisationnel, l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dont le CERTA fait partie, continue sa croissance. Le CERTA rappelle que des postes sont toujours à pourvoir au sein de l'équipe et plus largement au sein de l'ANSSI. Les offres d'emploi sont disponibles à l'adresse suivante :
http://www.ssi.gouv.fr/fr/anssi/emploi/
Le bulletin d'actualité est, pour le CERTA, le moyen de partager sa vision et son expérience en matière de traitement d'incident. Les retours sur cette production sont toujours fortement appréciés. N'hésitez donc pas à nous faire part de vos remarques. Il ne nous reste plus qu'à vous souhaiter une excellente fin d'année 2011 et une bonne année 2012 et à vous donner rendez-vous l'année prochaine pour continuer ensemble l'effort global de sécurisation de nos systèmes d'information. Très bonne et heureuse année à toutes et à tous !
2 Vulnérabilité dans certains démons et clients Telnet
Bien qu'assez ancien, le protocole Telnet reste tout de même relativement utilisé, notamment dans le cadre de l'administration distante d'équipement réseau. Aussi, une vulnérabilité touchant un démon ou un client Telnet représente une réelle menace.
La vulnérabilité CVE-2011-4862 touchant le démon Telnet installé par défaut sur FreeBSD, divulguée le 25 décembre de cette année, représente donc un bien beau cadeau de Noël pour les attaquants. En effet, cette vulnérabilité permet de prendre le contrôle complet d'une machine distante (invite de commande root) utilisant ce démon et ce sans authentification.
De plus, il s'avère que cette vulnérabilité touche aussi d'autres implémentations de Telnet. En effet, le module vulnérable est utilisé dans d'autres implémentations. C'est le cas notamment du démon Telnet inclus dans MIT Kerberos (versions 5 et antérieures) ainsi que dans le package inetutils.
Pire, certains clients, lorsqu'ils sont compilés avec les options de prise en compte de la cryptographie, sont aussi vulnérables. Ainsi, une connexion sur un faux serveur Telnet peut conduire un attaquant à prendre le contrôle complet de la machine client.
D'un point de vue technique, la fonction fautive encrypt_keyid, située dans le fichier encrypt.c, est vulnérable à un dépassement de tampon lors de la réception des options de négotiation de la clé cryptographique. Ce type de vulnérabilité, bien connu, est relativement simple à exploiter. Des codes d'exploitation fonctionnels sont d'ailleurs disponibles librement sur Internet.
Le CERTA recommande donc une grande vigilance vis-à-vis de cette vulnérabilité. Il est notamment conseillé aux utilisateurs de FreeBSD n'ayant pas besoin d'un serveur Telnet de le désactiver. Il est aussi préférable d'utiliser des versions du client Telnet ne supportant pas les options cryptographiques, dans le cas où de la cryptographie n'est pas nécessaire (c'est par exmenple le cas du client Telnet disponible sur un installation Debian de base). Un correctif est par ailleurs disponible. Cependant, ce dernier n'est pour l'instant présent que dans les dépôts des différents éditeurs, les versions binaires devraient suivre sous peu.
3 Déni de service HashDOS
Une nouvelle technique pour réaliser un déni de service sur un site Internet a été présentée à la conférence 28c3 (28th Chaos Communication Congress) à Berlin. Cette technique utilise une faille de conception présente dans la plupart des langages de programmation Web (PHP, Python, Ruby, ASP.NET, Java...). Lors du traitement d'une requête, un condensat simple de chaque paramètre est réalisé. La mise en base des condensats d'un grand nombre de paramètres est normalement très rapide. Cependant, s'il y a un grand nombre de collisions dans les condensats la vitesse de mise en base est beaucoup plus lente.
L'attaque consiste donc à envoyer au serveur des requêtes très longues, contenant de très nombreux paramètres qui ont tous le même condensat ; ces paramètres sont relativement faciles à calculer pour l'attaquant car il ne s'agit pas de condensats cryptographiques forts. Selon les calculs effectués par les chercheurs, 500ko de requêtes spécialement conçues engendrent une minute de temps de traitement sur un serveur PHP muni d'un processeur Intel Core i7. Avec un débit de moins de 100kbits/s un attaquant peut occuper à 100% un serveur PHP muni d'un processeur Intel Core i7. Avec un débit de 6kbits/s un attaquant peut occuper à 100% un serveur Java+Tomcat muni d'un processeur Intel Core i7.
Une fois un important volume de données engendrant le même condensat calculé pour un langage donné, il peut être utilisé pour attaquer n'importe quel serveur utilisant ce langage, et être très facilement diffusé sur Internet.
Des mises à jour ont été publiées, qui permettent aux administrateurs de site de mettre en place des solutions de contournement : limiter la taille des requêtes acceptées, limiter le nombre de paramètres acceptables dans une requête. Une autre solution de contournement est de limiter le temps processeur disponible par fil d'exécution.
Le CERTA recommande d'installer ces mises à jour au plus tôt et d'adapter les nouveaux paramètres aux besoins.
Documentation :
- Présentation faite lors de la 28c3 :
http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html
- Avis de sécurité nruns du 28 décembre 2011 :
http://www.nruns.com/_downloads/advisory28122011.pdf