Objet: Bulletin d’actualité CERTA-2013-ACT-005

1 Porte dérobée dans les produits Barracuda

Des chercheurs en sécurité ont récemment révélé la présence de « portes dérobées » dans certains produits de Barracuda Networks (CERTA-AVI-2013-064) qui autorisent une connexion entrante (SSH) avec un compte par défaut, en provenance de certaines adresses filtrées:

• adresses privées (192.168.200.0/24, 192.168.10.0/24) ;
• adresses publiques (205.158.110.0/24, 216.129.105.0/24).

Ces règles de filtrage autorisent les connexions en provenance du réseau interne et en provenance d’adresses publiques censées appartenir à l’éditeur. Il s’est avéré que certaines des adresses publiques autorisées sont enregistrées par d’autres sociétés. Il est donc possible pour un attaquant de se connecter à partir d’une de ces adresses (y compris depuis l’éditeur) afin de pouvoir utiliser le compte par défaut et se connecter sur les équipements.

Le CERTA recommande l’application immédiate du correctif de sécurité fourni par le constructeur pour palier cette vulnérabilité.

1.1 Documentation

• Alerte détaillée publiée par SEC Consult Vulnerability Lab

  http://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20130124-0_Barracuda_Appliances_Backdoor_wo_poc_v10.txt
  

• Avis CERTA-2013-AVI-064 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-064/
  

2 Vulnérabilités dans plusieurs bibliothèques UPnP

Le protocole Universal Plug and Play (UPnP) est employé pour faciliter les communications entre les différents périphériques connectés à un réseau. Lors de la connexion d’un équipement, la première action menée est de procéder à la découverte de son environnement. Elle permet d’identifier les services déjà proposés. Cette découverte est basée sur le protocole Simple Service Discovery Protocol (SSDP). SSDP communique en utilisant le protocole UDP vers des addresses unicast ou multicast et à destination du port 1900.

La bibliothèque libupnp contient plusieurs failles de sécurité dans la gestion des données relatives à SSDP. Sur les versions 1.3.1 à 1.6.18 on dénombre un total de 8 vulnérabilités dont les références sont : CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964, CVE-2012-5965.

Par exemple, les failles CVE-2012-5958 et CVE-2012-5959 sont dues à une mauvaise utilisation de la fonction strncpy. Même si l’utilisation de cette fonction est généralement préconisée, contrairement à son équivalent strcpy (ne demandant pas le nombre d’octets à copier), elle est dans ce cas mal utilisée. En effet, elle est appelée avec une chaîne de caractères et une longueur déduite des données provenant du réseau, donc manipulable. En envoyant des données spécialement conçues, un attaquant pourra prendre le contrôle de l’équipement au moyen d’une vulnérabilité de type débordement de mémoire tampon sur la pile.

Une fois la phase de découverte réalisée à l’aide de SSDP, le protocole UPnP utilise des requêtes Simple Object Access Protocol (SOAP) pour communiquer avec les autres périphériques du réseau. Ce protocole repose sur l’envoi de requêtes XML au travers de HTTP.

Ce protocole est implémenté par une autre bibliothèque: MiniUPnP. Dans cette implémentation, l’utilisation conjointe de la fonction memcpy (permettant de copier des données d’un tampon à l’autre) et des données provenant du réseau provoque un débordement de tampon dans la pile (CVE-2013-0230).

Enfin, et toujours dans l’implémentation du protocole SOAP, il aurait été récemment découvert des vulnérabilité pour des composants embarqués de type routeur. Ces composants peuvent se retrouver dans des produits de différents équipementiers ce qui les rendraient ainsi vulnérables.

Le CERTA rappelle que le protocole UPnP n’a pas vocation à être accessible depuis Internet. Son accès depuis l’extérieur peut poser, en plus des éléments présentés précédemment, d’autres problématiques. La nature même du protocole permettant, par exemple, l’ouverture de ports arbitraires vers le LAN depuis la passerelle de connexion à Internet fait de l’équipement une cible de choix pour l’attaquant.

Le CERTA recommande donc à ses lecteurs de désactiver ce protocole sur leurs différents équipements réseau. Si une désactivation n’est pas envisageable, il est essentiel de s’assurer que son utilisation est restreinte aux réseaux locaux de confiance ainsi que de mettre à jour les équipements impactés.

Documentation

• libupnp:
  • Référence CVE-2012-5958 :

    https://www.cve.org/CVERecord?id=CVE-2012-5958
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5958
    

  • Référence CVE-2012-5959 :

    https://www.cve.org/CVERecord?id=CVE-2012-5959
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5959
    

  • Référence CVE-2012-5960 :

    https://www.cve.org/CVERecord?id=CVE-2012-5960
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5960
    

  • Référence CVE-2012-5961 :

    https://www.cve.org/CVERecord?id=CVE-2012-5961
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5961
    

  • Référence CVE-2012-5962 :

    https://www.cve.org/CVERecord?id=CVE-2012-5962
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5962
    

  • Référence CVE-2012-5963 :

    https://www.cve.org/CVERecord?id=CVE-2012-5963
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5963
    

  • Référence CVE-2012-5964 :

    https://www.cve.org/CVERecord?id=CVE-2012-5964
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5964
    

  • Référence CVE-2012-5965 :

    https://www.cve.org/CVERecord?id=CVE-2012-5965
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5965
    

• MiniUPnP:
  • Référence CVE-2013-0230 :

    https://www.cve.org/CVERecord?id=CVE-2013-0230
    

    http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-0230
    

• Avis du CERTA:
  • Avis CERTA-2013-AVI-073 :

    http://www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-073/
    

3 Sécurité des sytèmes de télésurveillance

De plus en plus fréquemment, les systèmes de vidéosurveillance embarquent des technologies de communication sur IP avec une capacité de contrôle et d’accès à distance.

À l’instar du produit SecureView de TRENDnet, dont la dernière vulnérabilité, objet de l’avis CERTA-2013-AVI-063, n’a été corrigée par l’éditeur qu’un an après sa divulgation sur Internet, il convient d’avoir à l’esprit que ces produits ne sont pas exempts de vulnérabilités, amplifiées par leur exposition sur Internet.

Durant cette période, il était donc possible pour un attaquant d’accéder aux caméras de surveillance d’une société ou d’un particulier utilisant ce produit, sans qu’aucune autre solution que la désactivation du système ne puisse y pallier.

D’une manière générale, le CERTA recommande de faire preuve de vigilance, quant à l’usage de produits de sécurité fonctionnant sur IP et administrable à distance. Ces produits doivent faire l’objet d’une intégration à la PSSI de l’entreprise, d’un suivi au niveau des mises à jour de sécurité et ne devraient jamais être directement accessibles sur Internet, sans authentification forte et sans utilisation d’un tunnel chiffré.

Documentation

• TRENDnet – correctif pour les caméras IP Secureview

  http://www.trendnet.com/downloads/
  

• Avis CERTA-2013-AVI-063 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-063/
  

4 Nouvelles publications de l’ANSSI

Suite à l’appel à commentaires (cf. CERTA-2012-ACT-040), l’ANSSI a publié la version finale du guide d’hygiène informatique. Ce guide propose quarante recommandations simples pour sécuriser un système d’information et protéger le patrimoine de l’entreprise.

Un référentiel métier de l’architecte référent en sécurité des systèmes d’information a également été publié. L’objectif de ce document est de définir les compétences de l’architecte référent en sécurité des systèmes d’information, ou « ARSSI », par le biais d’un référentiel métier. Ce référentiel peut notamment être utilisé pour définir des formations adéquates ou autoévaluer son niveau de qualification et de pratique.

Documentation

• Guide d’hygiène informatique

  http://www.ssi.gouv.fr/hygiene-informatique/

• Référentiel métier de l’architecte référent en sécurité des systèmes d’information

  http://www.ssi.gouv.fr/referentiel-architecte-referent/

• Bulletin d’actualité CERTA-2012-ACT-040 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-040/
  

Rappel des avis émis

Dans la période du 21 au 27 janvier 2013, le CERT-FR a émis les publications suivantes :

• CERTA-2013-AVI-049 : Multiples vulnérabilités dans Novell eDirectory
• CERTA-2013-AVI-050 : Vulnérabilité dans Foxit Reader
• CERTA-2013-AVI-051 : Vulnérabilité dans IBM Informix
• CERTA-2013-AVI-052 : Multiples vulnérabilités dans Moodle
• CERTA-2013-AVI-053 : Vulnérabilités dans le produit Cisco WRT54GL
• CERTA-2013-AVI-054 : Vulnérabilités dans Avaya Aura Experience Portal
• CERTA-2013-AVI-055 : Vulnérabilités dans EMC AlphaStor
• CERTA-2013-AVI-056 : Vulnérabilité dans Snort
• CERTA-2013-AVI-057 : Vulnérabilité dans EMC Avamar
• CERTA-2013-AVI-058 : Vulnérabilité dans F5 BIG-IP
• CERTA-2013-AVI-059 : Multiples vulnérabilités dans Google Chrome
• CERTA-2013-AVI-060 : Vulnérabilités dans Xen
• CERTA-2013-AVI-061 : Vulnérabilité dans IBM WebSphere
• CERTA-2013-AVI-062 : Multiples vulnérabilités dans Cisco Wireless LAN Controllers
• CERTA-2013-AVI-063 : Vulnérabilité dans les caméras TRENDnet
• CERTA-2013-AVI-064 : Multiples vulnérabilités dans les produits Barracuda Networks