S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 26 juillet 2013
N° CERTA-2013-ACT-030
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2013-ACT-030

Gestion du document

Référence CERTA-2013-ACT-030
Titre Bulletin d'actualité CERTA-2013-ACT-030
Date de la première version 26 juillet 2013
Date de la dernière version 26 juillet 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Correction de vulnérabilités sur le produit Cisco Unified Communications Manager (CUCM)

Le 18 juillet 2013, Cisco a corrigé six vulnérabilités concernant le produit de téléphonie sur IP CUCM. Ces vulnérabilités ont été présentées le 06 juin 2013 lors de la conférence SSTIC à Rennes. L'intervenant avait démontré que l'exploitation successive de ces six failles permet de prendre le contrôle complet de l'équipement et ce, sans posséder de compte au préalable. De nombreux éléments techniques ont été dévoilés lors de la présentation et peuvent faciliter la reproduction du schéma d'attaque par un utilisateur malveillant.

Il est important de noter que le produit CUCM constitue la brique centrale d'une infrastructure de téléphonie sur IP basée sur les technologies Cisco. En cas de compromission, un attaquant peut alors accéder au contenu des communications téléphoniques, ce qui présente un risque de divulgations d'informations confidentielles.

Le CERTA recommande de mettre à jour le plus rapidement possible les équipements concernés avec les correctifs fournis par Cisco.

Documentation

2 Désactivation d'URL malveillantes

Les traitements d'incidents menés par le CERTA amènent à échanger des informations sur des domaines ou des URL pointant vers des pages potentiellement malveillantes ou vers lesquelles on souhaite éviter de déclencher des communications.

L'objectif est d'éviter les clics accidentels, les prefetch (DNS ou web) ou toute erreur liée à des liens pointant vers ces domaines. Le problème se pose particulièrement avec les navigateurs mais également les logiciels de traitement de texte ou autres clients de messagerie.

Le CERTA a donc choisi de limiter les risques en modifiant ces URL lors d'échanges : la chaîne ._BAD_ est concaténée à la fin du nom de domaine. Par exemple, http://www.certa.ssi.gouv.fr/ devient http://www.certa.ssi.gouv.fr._BAD_/.

Cette technique est différente de celle parfois utilisée qui consiste à remplacer http par hxxp. Cependant, elle présente certains avantages :

  • elle évite toute connexion, le DNS étant invalide ;
  • elle fonctionne quelque soit le protocole ;
  • elle fonctionne avec les IP, v4 comme v6 ;
  • elle présente l'avantage d'être explicite.

Le CERTA utilise donc cette convention pour communiquer avec ses interlocuteurs. Si vous n'avez pas mis en place une telle pratique, le CERTA recommande de désactiver vos URL malveillantes et vous invite à utiliser cette technique.

Documentation

Bulletin d'actualité CERTA-2012-ACT-033 :

Rappel des publications émises

Dans la période du 15 juillet 2013 au 21 juillet 2013, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 26 juillet 2013
    version initiale.