Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2007-ACT-008

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 23 février 2007
No CERTA-2007-ACT-008

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-08

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-008

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-008.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-008/

1 Activités en cours

1.1 Problème lié à l'hébergement mutualisé

Le CERTA a traité deux incidents concernant des cas de défigurations. Dans la première d'entre elles, il s'agissait d'un simple fichier index.html modifié ou écrasé qui empêchait une redirection vers le bon site. Après lecture des journaux du système affecté, il a été impossible de déterminer la nature de l'attaque. Dans la seconde compromission, l'auteur de la défiguration a utilisé une vulnérabilité de type « inclusion php » présente dans un gestionnaire de contenu Joomla! vulnérable. Dans ce cas, il a été possible d'identifier le type d'attaque en exploitant les journaux du système. Or, après analyse, ces deux incidents n'en faisaient qu'un. En effet, les deux sites se trouvaient sur la même machine en hébergement mutualisé. Le CERTA a donc pu déterminer que le point d'entrée sur la machine fut le site Joomla! vulnérable, depuis lequel le pirate s'attaqua aux autres sites présents sur la machine. On parle dans ce cas d'une défiguration en masse.

Recommandations:

Le CERTA vous recommande de vous reporter à la note d'information CERTA-2005-INF-005 concernant l'hébergement mutualisé et les risques inhérents à ce type de solutions.

1.2 Règle de filtrage pour les serveurs

Il est d'usage que les pare-feux laissent passer les connexions HTTP (port 80) sortantes sans restriction et qu'un proxy soit chargé de limiter ces connexions à certaines adresses réticulaires (URL). Ce filtrage est souvent appliqué aux connexions issues des postes de travail. Il doit l'être également aux serveurs, même en zone publique (DMZ). Lors du traitement récent d'un incident, le CERTA a constaté qu'un serveur en zone publique s'est trouvé compromis. Le manque de filtrage des connexions vers l'Internet initiées par ce serveur a permis l'utilisation frauduleuse du serveur pour participer à un déni de service.

Recommandations:

Le CERTA recommande la mise en oeuvre d'un politique contrôlant les « rebonds ». Dans ce cadre, il convient :

  • d'appliquer un filtrage pour les connexions des serveurs vers l'Internet, même sur les protocoles classiquement autorisés (HTTP, FTP, SMTP) ;
  • de mettre en place un filtrage adapté à ces serveurs.

1.3 La configuration des services de messagerie

Cette semaine le CERTA a reçu des appels concernant des incidents de messagerie. En effet durant les périodes de congés il est fréquent de constater que des utilisateurs mettent en place des réponses automatiques voir des redirections de courrier de leur messagerie professionnelle vers leur messagerie personnelle. Mal configurées, ces fonctionnalités peuvent devenir la source d'importante nuisances, comme par exemple des courriels qui transitent en boucle infinie entre la messagerie de l'utilisateur et une liste de diffusion, des réponses automatiques qui remplissent une boîte aux lettres électronique ou encore la sortie d'information confidentielle relayée vers une boîte aux lettres externe.

Recommandations:

Il est préférable d'éviter de paramétrer un message d'absence ou une réponse automatique pour les courriels venant de l'extérieur et d'interdire la redirection de messages vers des boîtes aux lettres externes ou personnelles.

1.4 Vulnérabilités dans Firefox

Ces derniers jours, plusieurs vulnérabilités ont été publiées sur l'Internet ou dans des listes de diffusion touchant principalement le navigateur Firefox. Internet Explorer 7 pourrait être concerné également par certaines d'entre elles. Pour le moment, le CERTA n'a pas publié sur le sujet autrement que par le biais de ce bulletin, car l'exploitation de ces vulnérabilités ne peut conduire à une compromission sérieuse de l'intégrité d'un système. Tout au plus, l'exploitation de ces vulnérabilités pourrait être intégrée dans un processus d'attaque (comme du phishing, par exemple), ce qui reste néanmoins hypothétique. Certaines de ces vulnérabilités sont examinées en ce moment par les éditeurs afin de les qualifier, dans un premier temps, puis d'apporter d'eventuels correctifs.

Recommandations:

Le CERTA recommande de naviguer sur l'Internet avec la plus grande prudence, en ne consultant dans la mesure du possible que des sites de confiance, et en n'autorisant l'activation du contenu dynamique (ActiveX, Javascript, Java) qu'en cas d'extrême nécessité.


2 Rappel des avis émis

Durant la période du 16 au 23 février 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-087 : Vulnérabilité dans la mise en oeuvre du protocole TCP sous Sun Solaris
  • CERTA-2007-AVI-088 : Vulnérabilité de HP-UX SLS
  • CERTA-2007-AVI-089 : Multiples vulnérabilités du module IPS de Cisco IOS
  • CERTA-2007-AVI-090 : Multiples vulnérabilités de produits Cisco
  • CERTA-2007-AVI-091 : Multiples vulnérabilités dans Apple iChat
  • CERTA-2007-AVI-092 : Vulnérabilité dans Apple UserNotification
  • CERTA-2007-AVI-094 : Vulnérabilité dans SpamAssassin
  • CERTA-2007-AVI-095 : Vulnérabilité de Snort
  • CERTA-2007-AVI-096 : Vulnérabilité de TrendMicro ServerProtect
  • CERTA-2007-AVI-097 : Vulnérabilités dans Cisco Secure Services Client
  • CERTA-2007-AVI-098 : Multiples vulnérabilités dans les équipements CISCO Unified IP

Pendant la même période, les avis suivant ont été mis à jour :

  • CERTA-2007-AVI-076 : Multiples vulnérabilités dans php (ajout des références CVE et Redhat)
  • CERTA-2007-AVI-093 : Multiples vulnérabilités dans ClamAV (ajout de la référence Mandriva)

Gestion détaillée du document

23 février 2007
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 25/05/2012