S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 01 février 2013
N° CERTA-2013-ACT-005
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2013-ACT-005

Gestion du document

Référence CERTA-2013-ACT-005
Titre Bulletin d'actualité CERTA-2013-ACT-005
Date de la première version01 février 2013
Date de la dernière version01 février 2013
Source(s)

Une gestion de version détaillée se trouve à la fin de ce document.

1 Porte dérobée dans les produits Barracuda

Des chercheurs en sécurité ont récemment révélé la présence de « portes dérobées » dans certains produits de Barracuda Networks (CERTA-AVI-2013-064) qui autorisent une connexion entrante (SSH) avec un compte par défaut, en provenance de certaines adresses filtrées:
  • adresses privées (192.168.200.0/24, 192.168.10.0/24) ;
  • adresses publiques (205.158.110.0/24, 216.129.105.0/24).
Ces règles de filtrage autorisent les connexions en provenance du réseau interne et en provenance d'adresses publiques censées appartenir à l'éditeur. Il s'est avéré que certaines des adresses publiques autorisées sont enregistrées par d'autres sociétés. Il est donc possible pour un attaquant de se connecter à partir d'une de ces adresses (y compris depuis l'éditeur) afin de pouvoir utiliser le compte par défaut et se connecter sur les équipements.

Le CERTA recommande l'application immédiate du correctif de sécurité fourni par le constructeur pour palier cette vulnérabilité.

1.1 Documentation

2 Vulnérabilités dans plusieurs bibliothèques UPnP

Le protocole Universal Plug and Play (UPnP) est employé pour faciliter les communications entre les différents périphériques connectés à un réseau. Lors de la connexion d'un équipement, la première action menée est de procéder à la découverte de son environnement. Elle permet d'identifier les services déjà proposés. Cette découverte est basée sur le protocole Simple Service Discovery Protocol (SSDP). SSDP communique en utilisant le protocole UDP vers des addresses unicast ou multicast et à destination du port 1900.

La bibliothèque libupnp contient plusieurs failles de sécurité dans la gestion des données relatives à SSDP. Sur les versions 1.3.1 à 1.6.18 on dénombre un total de 8 vulnérabilités dont les références sont : CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964, CVE-2012-5965.

Par exemple, les failles CVE-2012-5958 et CVE-2012-5959 sont dues à une mauvaise utilisation de la fonction strncpy. Même si l'utilisation de cette fonction est généralement préconisée, contrairement à son équivalent strcpy (ne demandant pas le nombre d'octets à copier), elle est dans ce cas mal utilisée. En effet, elle est appelée avec une chaîne de caractères et une longueur déduite des données provenant du réseau, donc manipulable. En envoyant des données spécialement conçues, un attaquant pourra prendre le contrôle de l'équipement au moyen d'une vulnérabilité de type débordement de mémoire tampon sur la pile.

Une fois la phase de découverte réalisée à l'aide de SSDP, le protocole UPnP utilise des requêtes Simple Object Access Protocol (SOAP) pour communiquer avec les autres périphériques du réseau. Ce protocole repose sur l'envoi de requêtes XML au travers de HTTP.

Ce protocole est implémenté par une autre bibliothèque: MiniUPnP. Dans cette implémentation, l'utilisation conjointe de la fonction memcpy (permettant de copier des données d'un tampon à l'autre) et des données provenant du réseau provoque un débordement de tampon dans la pile (CVE-2013-0230).

Enfin, et toujours dans l'implémentation du protocole SOAP, il aurait été récemment découvert des vulnérabilité pour des composants embarqués de type routeur. Ces composants peuvent se retrouver dans des produits de différents équipementiers ce qui les rendraient ainsi vulnérables.

Le CERTA rappelle que le protocole UPnP n'a pas vocation à être accessible depuis Internet. Son accès depuis l'extérieur peut poser, en plus des éléments présentés précédemment, d'autres problématiques. La nature même du protocole permettant, par exemple, l'ouverture de ports arbitraires vers le LAN depuis la passerelle de connexion à Internet fait de l'équipement une cible de choix pour l'attaquant.

Le CERTA recommande donc à ses lecteurs de désactiver ce protocole sur leurs différents équipements réseau. Si une désactivation n'est pas envisageable, il est essentiel de s'assurer que son utilisation est restreinte aux réseaux locaux de confiance ainsi que de mettre à jour les équipements impactés.

Documentation

3 Sécurité des sytèmes de télésurveillance

De plus en plus fréquemment, les systèmes de vidéosurveillance embarquent des technologies de communication sur IP avec une capacité de contrôle et d'accès à distance.

À l'instar du produit SecureView de TRENDnet, dont la dernière vulnérabilité, objet de l'avis CERTA-2013-AVI-063, n'a été corrigée par l'éditeur qu'un an après sa divulgation sur Internet, il convient d'avoir à l'esprit que ces produits ne sont pas exempts de vulnérabilités, amplifiées par leur exposition sur Internet.

Durant cette période, il était donc possible pour un attaquant d'accéder aux caméras de surveillance d'une société ou d'un particulier utilisant ce produit, sans qu'aucune autre solution que la désactivation du système ne puisse y pallier.

D'une manière générale, le CERTA recommande de faire preuve de vigilance, quant à l'usage de produits de sécurité fonctionnant sur IP et administrable à distance. Ces produits doivent faire l'objet d'une intégration à la PSSI de l'entreprise, d'un suivi au niveau des mises à jour de sécurité et ne devraient jamais être directement accessibles sur Internet, sans authentification forte et sans utilisation d'un tunnel chiffré.

Documentation

4 Nouvelles publications de l'ANSSI

Suite à l'appel à commentaires (cf. CERTA-2012-ACT-040), l'ANSSI a publié la version finale du guide d'hygiène informatique. Ce guide propose quarante recommandations simples pour sécuriser un système d'information et protéger le patrimoine de l'entreprise.

Un référentiel métier de l'architecte référent en sécurité des systèmes d'information a également été publié. L'objectif de ce document est de définir les compétences de l'architecte référent en sécurité des systèmes d'information, ou « ARSSI », par le biais d'un référentiel métier. Ce référentiel peut notamment être utilisé pour définir des formations adéquates ou autoévaluer son niveau de qualification et de pratique.

Documentation

Rappel des publications émises

Dans la période du 21 janvier 2013 au 27 janvier 2013, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 01 février 2013
    version initiale.