 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 22 juillet 2005
No CERTA-2005-ACT-029 |
Affaire suivie par :
CERTA
Objet : Bulletin d'actualité
2005-29
Tableau 1: Gestion du document
| Référence |
CERTA-2005-ACT-029 |
| Titre |
Bulletin d'actualité
2005-29 |
| Date de la première
version |
22 juillet 2005 |
| Date de la dernière
version |
- |
| Source(s) |
|
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
Le CERTA observe de plus en plus fréquemment le
déploiement de réseaux sans fil en environnement
de production. Le réseau sans fil séduit par sa
facilité de déploiement ainsi que le coût
d'investissement faible. Parfois, le réseau sans fil est
la seule solution en regard de contraintes
particulières.
Comme il est mentionné dans la recommandation du CERTA
CERTA-2002-REC-002 du 26 octobre 2004, un certain nombre de
points de sécurité sont à prendre en
compte.
L'architecture du réseau, lors de l'introduction de
matériels sans fil doit être revue avec attention.
Un travail de réflexion en amont sur
l'intégration du réseau sans fil dans un
réseau existant doit être effectuée. Il est
fréquent de trouver un réseau sans fil
directement raccordé à un réseau (intranet
par exemple) sans prise en compte de la sécurité,
chose dramatique du point de vue de la sécurité.
Les réseaux sans fils doivent être traités
à la manière d'une DMZ (zone
démilitarisée).
Le chiffrement du lien sans fil est le point le plus
médiatisé, non sans raisons.
En l'absence de chiffrement, les données sont
directement visibles, d'aussi loin que la portée du
réseau sans fil le permet. Le WEP (Wired Equivalent
Privacy), mécanisme de chiffrement initial, est
aujourd'hui très largement insuffisant pour assurer un
minimum de sécurité. Des outils et techniques
publiques sont disponibles permettant de trouver une clef WEP
(64 ou 128 bits) en moins de 3 minutes.
Du matériel compatible WPA ou WPA2 est aujourd'hui
nécessaire. La norme WPA resoud les faiblesses largement
discutées du WEP (authentification,
intégrité, chiffrement). La norme WPA2 ajoute un
chiffrement ayant recourt à l'AES. En tout état
de cause, IPSEC ou n'importe quelle technique de VPN doit
être utilisée si l'on désire un niveau de
confidentialité robuste.
Il faut noter que les réseaux sans fil restent toujours
vulnérables à des attaques de type déni de
service (attaques de la couche 1 par brouilleurs actifs,
attaques sur la couche 2 par désassociation par
exemple). Il est difficile de se pémunir contre ces
attaques. Le réseau sans fil ne doit donc pas être
utilisé si le réseau est critique en terme de
disponibilité.
Cependant, la sécurité des réseaux sans
fils ne doit pas se limiter à la seule
sécurité du lien. La sécurité des
points d'accès (désactivation de services non
nécessaires, mises à jour de firmwares), des
serveurs d'authentification ainsi que des clients doit
être au centre des préoccupations.
Dans toutes ces problématiques, le CERTA peut vous
apporter une assistance opérationnelle.
Le tableau 3 et la figure 1 montrent les rejets pour les
ports sous surveillance que nous avons constatés sur
deux dispositifs de filtrage, entre le 06 et le 13 juillet
2005.
Durant la période du 11 juillet au 15 juillet 2005,
le CERTA a émis les avis suivants :
- CERTA-2005-AVI-249 : Vulnérabilité de Ruby
;
- CERTA-2005-AVI-250 : Vulnérabilité de dhcpd
;
- CERTA-2005-AVI-251 : Vulnérabilité de cpio
;
- CERTA-2005-AVI-252 : Vulnérabilité dans IBM
Tivoli Management Framework ;
- CERTA-2005-AVI-253 : Vulnérabilité dans
Microsoft Word ;
- CERTA-2005-AVI-254 : Vulnérabilité dans le
module de gestion des couleurs de Microsoft ;
- CERTA-2005-AVI-255 : Multiples
vulnérabilités dans les produits Oracle ;
- CERTA-2005-AVI-256 : Multiples
vulnérabilité dans les produits Mozilla ;
- CERTA-2005-AVI-257 : Vulnérabilité de MIT
Kerberos 5 ;
- CERTA-2005-AVI-258 : Multiples
vulnérabilités dans Mac OS X ;
- CERTA-2005-AVI-259 : Vulnérabilités dans
CISCO Call Manager ;
- CERTA-2005-AVI-260 : Vulnérabilités dans
IBM AIX ftpd ;
- CERTA-2005-AVI-261 : Multiples
vulnérabilités dans Bugzilla ;
- CERTA-2005-AVI-262 : Vulnérabilité de
SquirrelMail ;
- CERTA-2005-AVI-263 : Vulnérabilité dans
Cisco Security Agent (CSA) ;
- CERTA-2005-AVI-264 : Vulnérabilité dans
CISCO ONS 15216 OADM ;
- CERTA-2005-AVI-265 : Vulnérabilité de IBM
Lotus Notes ;
- CERTA-2005-AVI-266 : Vulnérabilité de
Sophos Anti-Viru ;
- CERTA-2005-AVI-267 : Vulnérabilité dans
JRun de Macromedia.
Pendant cette même période, les mises à
jour suivantes ont été publiées :
- CERTA-2005-AVI-096-001 : Vulnérabilités
dans phpBB (ajout des bulletins de sécurité
iDEFENSE id=204 et id=205, du bulletin supplémentaire
FreeBSD ainsi que des références CVE
CAN-2005-0258 et CVE CAN-2005-0259.)
- CERTA-2005-AVI-165-004 : Vulnérabilité dans
Squid (ajout de la référence au bulletin de
sécurité Debian DSA-751.)
- CERTA-2005-AVI-167-001 : Multiples
vulnérabilités dans CVS (ajout des
références aux bulletins de
sécurité SUSE et Debian.)
- CERTA-2005-AVI-192-001 : Vulnérabilité de
Net-SNMP (ajout de la référence CVE
CAN-2005-1740 et du bulletin de sécurité
FreeBSD.)
- CERTA-2005-AVI-225-007 : Vulnérabilité dans
SpamAssassin (ajout de la référence au bulletin
de sécurité OpenBSD.)
- CERTA-2005-AVI-242-005 : Vulnérabilités
dans PHP PEAR (ajout des références aux
bulletins de sécurité RedHat RHSA-2005:564,
SUSE SUSE-SA-2005:041, Debian DSA-745, Debian DSA-747, Gentoo
GLSA 200507-06, Gentoo GLSA 200507-07 et Gentoo GLSA
200507-08.)
- CERTA-2005-AVI-246-003 : Vulnérabilité de
la bibliothèque zlib (ajout de la
référence au bulletin de sécurité
OpenBSD 3.6 relatif à zlib, correctif 019.)
- CERTA-2005-AVI-247-002 : Vulnérabilités
dans Adobe Reader (ajout des références aux
bulletins de sécurité iDEFENSE, RedHat
RHSA-2005:575 et Gentoo GLSA 200507-09.)
- CERTA-2005-AVI-153-001 : Multiples
vulnérabilités de MPlayer (ajout des bulletins
de sécurité MPlayer (#vuln 10 et #vuln 11) et
du bulletin de sécurité Mandriva
MDKSA-2005:115.)
- CERTA-2005-AVI-183-004 : Vulnérabiltés dans
gzip (ajout de la référence au bulletin de
sécurité Debian DSA-752.)
- CERTA-2005-AVI-234-004 : Vulnérabilité de
ClamAV (ajout de la référence au bulletin de
sécurité Mandriva MDKSA-2005:113.)
- CERTA-2005-AVI-221-002 : Vulnérabilité de
gedit (ajout de la référence au bulletin de
sécurité Debian.)
- CERTA-2005-AVI-242-006 : Vulnérabilités
dans PHP PEAR (ajout de la référence au
bulletin de sécurité OpenBSD.)
- CERTA-2005-AVI-249-001 : Vulnérabilité de
Ruby (ajout de la référence à l'annonce
du correctif et des références aux bulletins de
sécurité Gentoo et Mandriva.)
- CERTA-2005-AVI-250-001 : Vulnérabilité de
dhcpd (ajout de la référence au bulletin de
sécurité Mandriva.)
- CERTA-2005-AVI-164-005 : Multiples
vulnérabilités dans tcpdump (ajout de la
référence au bulletin de sécurité
SUSE.)
- CERTA-2005-AVI-195-001 : Vulnérabilité de
libtiff (ajout de la référence au bulletin de
sécurité Debian.)
- CERTA-2005-AVI-202-005 : Multiples
vulnérabilités de Gaim (ajout de la
référence au bulletin de sécurité
SUSE.)
- CERTA-2005-AVI-243-002 : Multiples
vulnérabilités de Cacti (ajout de la
référence au bulletin de sécurité
SUSE SUSE-SR:2005:017 et des références CVE
CAN-2005-2148 et CAN-2005-2149.)
- CERTA-2005-AVI-246-004 : Vulnérabilité de
la bibliothèque zlib (ajout de la
référence au bulletin de sécurité
SUSE.)
- CERTA-2005-AVI-250-002 : Vulnérabilité de
dhcpd (ajout de la référence au bulletin de
sécurité SUSE.)
- CERTA-2005-AVI-256-001 : Multiples
vulnérabilité dans les produits Mozilla
(suppression de Mozilla Thunderbird 1.0.2 dans les
sytèmes affectées.)
- CERTA-2005-AVI-257-001 : Vulnérabilité de
MIT Kerberos 5 (ajout de la référence au
bulletin de sécurité SUSE.)
- CERTA-2005-AVI-256-002 : Multiples
vulnérabilité dans les produits Mozilla (ajout
des références aux bulletins de
sécurité Mandriva MDKSA-2005:120 et Gentoo GLSA
200507-14.)
- CERTA-2005-AVI-224-003 : Vulnérabilité de
SquirrelMail (ajout de la référence au bulletin
de sécurité Debian.)
- CERTA-2005-AVI-242-007 : Vulnérabilités
dans PHP PEAR (ajout de la référence au
bulletin de sécurité Debian DSA-746.)
- CERTA-2005-AVI-247-003 : Vulnérabilités
dans Adobe Reader (ajout de la référence au
bulletin de sécurité SUSE.)
- CERTA-2005-AVI-257-002 : Vulnérabilité de
MIT Kerberos 5 (ajout de la référence au
bulletin de sécurité Mandriva
MDKSA-2005:119.)
- CERTA-2005-AVI-245-001 : Vulnérabilités
dans OpenLDAP, nss_ldap et pam_ldap (ajout de la
référence au bulletin de sécurité
Gentoo 200507-13, correction de la référence
CVE.)
Quoique puisse suggérer ce document, la politique de
sécurité en vigueur dans votre service doit
primer.
Cette section précise néanmoins quelques
mesures générales de nature à vous
prémunir contre les agressions décrites dans ce
document. En effet, la sécurité des
systèmes d'information ne repose pas exclusivement sur
des outils, mais aussi sur une organisation et des
politiques.
A la lumière des enseignements tirés de ce qui
a été présenté dans les bulletins
d'actualité, il convient de vérifier que les
applications mises en  uvre (ou à
l'étude) ont une architecture qui résiste aux
incidents décrits.
Le tableau 2 rappelle les avis du CERTA correspondant aux
applications ou codes malveillants relatifs aux ports
étudiés dans les sections
précédentes.
L'application des correctifs sur un parc informatique
important n'est probablement pas immédiat. Un pare-feu
correctement configuré peut retenir certaines attaques
informatiques le temps d'appliquer les correctifs. Cependant un
pare-feu peut donner une illusion de protection. Cette
protection est brisée par la moindre introduction d'un
ordinateur nomade dans la partie protégée. On
remarque qu'il y a de nombreux paquets rejetés à
destination de ports légitimement utilisés par
des applications de prise de main à distance. La
téléadministration correspond à une
demande qui grandit avec la taille du parc à
gérer. Les paquets rejetés montrent le risque
associé à ce type d'application. Ce risque peut
être amoindri par l'usage correct d'un pare-feu.
De nombreux paquets rejetés étudiés
correspondent aux ports ouverts par divers virus/vers/chevaux
de Troie. Si votre politique de sécurité autorise
le balayage des ports ouverts sur les postes de travail ou les
serveurs, il peut s'avérer utile de le faire
régulièrement afin de découvrir les
machines potentiellement contaminées avant qu'un intrus
ne le fasse à votre place.
L'analyse des journaux de votre pare-feu est une source
pertinente d'informations pour la sécurité de
votre réseau et de vos systèmes. Cela peut vous
aider à anticiper des incidents en remarquant par
exemple des activités anormales. Le COSSI/CERTA peut
vous aider dans ce travail d'analyse.
Organisez-vous pour réagir aux incidents de
sécurité, en particulier, pour assurer une
certaine continuité dans les équipes
d'administration et de sécurité.
Le CERTA a pour mission de vous aider à
répondre aux incidents de sécurité
informatique.
Ne traitez pas les dysfonctionnements des machines à
la légère. Dans certains incidents dans lesquels
le CERTA intervient, les administrateurs des machines font
spontanément part de petits dysfonctionnements
inexpliqués et d'apparence anodine qui s'avèrent,
au cours de l'analyse, être liés à un
incident majeur de sécurité. N'hésitez pas
à prendre contact avec le CERTA si vous constatez de
l'activité sur les ports décrits ci-dessus.
Figure 1: Répartition relative
des ports pour la semaine du 06.07.2005 au 13.07.2005
|
|
Tableau 2: Correctifs correspondant aux
ports destination des paquets rejetés
|
|
,D,,2 /D//2
Tableau 3: Paquets rejetés
|
- 15 juillet 2005
- version initiale.
CERTA
2012-01-04
|
|
)
