S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 02 mars 2012
N° CERTA-2012-ACT-009
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2012-09

Gestion du document

Référence CERTA-2012-ACT-009
Titre Bulletin d'actualité 2012-09
Date de la première version 02 mars 2012
Date de la dernière version 02 mars 2012
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Les noms de domaine fantômes

Les cyber-délinquants utilisent souvent des noms de domaine qui pointent vers des serveurs employés, par exemple, à des fins d'hameçonnage ou de distribution de programmes malveillants. Lorsqu'un tel domaine est identifié, une contre-mesure permettant d'arrêter l'activité malveillante consiste à supprimer les références à ce domaine dans les serveurs DNS de plus haut niveau. Cependant des références au domaine restent présentes dans des serveurs DNS de cache jusqu'à ce que les enregistrements arrivent à expiration. C'est pour cette raison qu'une révocation nécessite généralement plusieurs heures avant de devenir globale.

Récemment, une équipe de chercheurs a découvert une vulnérabilité entravant ce mécanisme de révocation en empêchant que les enregistrements arrivent à expiration dans les serveurs DNS de cache. La vulnérabilité affecte la plupart des implémentations de serveurs DNS de cache et est inhérente à la politique de mise à jour du cache. Son exploitation permet à un nom de domaine de rester accessible durant une longue période, même après sa révocation dans les serveurs DNS de plus haut niveau. À cause de la spécificité de ces noms de domaine, révoqués mais toujours accessibles, les auteurs de la découverte ont décidé de les appeler « noms de domaine fantômes » (ghost domain names).

L'expérimentation conduite par les chercheurs sur un total de 19045 serveurs DNS de cache ouverts montre que, même une semaine après sa révocation, un nom de domaine peut être maintenu dans 70% des serveurs DNS. Ainsi, en ciblant un maximum de serveurs DNS de cache, les cyber-délinquants pourraient garder leurs noms de domaine malveillants globalement accessibles après révocation. Une autre exploitation de cette vulnérabilité consisterait à cibler un nombre restreint de serveurs DNS de cache, laissant croire que la révocation est effective globalement, mais permettant au nom de domaine de rester accessible à certains endroits.

Pour limiter les risques, le CERTA recommande de ne pas laisser son serveur DNS en accès libre sur l'Internet et d'installer les correctifs lorsqu'ils seront disponibles.

Plus de détails sur la vulnérabilité sont donnés dans la section Documentation.

Documentation

2 Note d'information sur les défigurations de sites Web

Le CERTA traite régulièrement des défigurations de site Web. L'analyse de ces incidents permet de mettre en évidence la ou les failles exploitées pour modifier le site. La correction des vulnérabilités ainsi découvertes est nécessaire avant toute remise en service du site, afin d'éviter la reproduction de l'attaque.

Le CERTA met à disposition, via son site Web, la note d'information CERTA-2012-INF-002. Celle-ci, intitulée Les défigurations de sites Web, propose quelques pistes afin de limiter la surface d'attaque, des techniques de détection des incidents et des mesures de réaction. Une procédure de restauration y est également décrite.

Documentation

3 Rappel des avis émis

Dans la période du 24 février au 01 mars 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-AVI-093 : Vulnérabilité dans phpMyAdmin
  • CERTA-2012-AVI-094 : Vulnérabilité dans libxml2
  • CERTA-2012-AVI-095 : Vulnérabilité dans Bugzilla
  • CERTA-2012-AVI-096 : Multiples vulnérabilités dans CISCO SRP 500 Series
  • CERTA-2012-AVI-097 : Vulnérabilité dans Python
  • CERTA-2012-AVI-098 : Vulnérabilité de CVS
  • CERTA-2012-AVI-099 : Vulnérabilité dans Samba
  • CERTA-2012-AVI-100 : Vulnérabilité dans IBM AIX
  • CERTA-2012-AVI-101 : Multiples vulnérabilités dans PostgreSQL
  • CERTA-2012-AVI-102 : Vulnérabilités dans Avaya CMS
  • CERTA-2012-AVI-103 : Vulnérabilité dans IBM Personal Communications
  • CERTA-2012-AVI-104 : Multiples vulnérabilités dans JP1/Cm2/Network Node Manager i
  • CERTA-2012-AVI-105 : Vulnérabilité dans Cisco Cius
  • CERTA-2012-AVI-106 : Vulnérabilités dans Cisco Unified Communications Manager
  • CERTA-2012-AVI-107 : Multiples vulnérabilités dans Cisco Wireless LAN Controllers
  • CERTA-2012-AVI-108 : Multiples vulnérabilités dans Cisco Unity Connection
  • CERTA-2012-AVI-109 : Vulnérabilités dans Cisco TelePresence Video Communication Server

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2012-AVI-087-001 : Vulnérabilité dans libpng (ajout de la référence au bulletin Mandriva)
  • CERTA-2012-AVI-094-001 : Vulnérabilité dans libxml2 (rectification du lien Mandriva)

Rappel des publications émises

Dans la période du 20 février 2012 au 26 février 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 02 mars 2012
    version initiale.