S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 03 juillet 2009 No CERTA-2009-ACT-027

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-27

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-027.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-027/

1 Mickael Jackson : the king of the bot !

1.1 L'actualité

Les pirates informatiques se sont depuis longtemps inspirés de l'actualité afin de propager toutes sortes de codes malveillants et de pourriels : catastrophes naturelles, crash d'avion, élection présidentielles, tous les prétextes sont bons...

Cette semaine c'est la mort de Mickael Jackson, le roi de la pop, qui sert de support à des fins malveillantes. Les méthodes sont classiques et se présentent sous la forme suivante :

• un pourriel est envoyé contenant une pièce jointe malveillante. Si le lecteur un peu trop curieux tente d'ouvrir le fichier, alors un cheval de Troie ou un robot IRC sera installé et permettra à une personne malveillante de prendre le contrôle de la machine et de lui envoyer des commandes à distance ;
• un pourriel invitant à aller visionner des images ou des vidéos exclusives du chanteur est envoyé. Les liens contenus dans le courrier électronique redirigent alors vers des sites tentant d'installer des logiciels malveillants ou de récolter des adresses électroniques afin d'alimenter une base de futures victimes de nouvelles attaques.

1.2 Les recommandations

Comme à l'accoutumée, le CERTA recommande d'appliquer les bonnes pratiques suivantes afin de limiter les compromissions :

• ne jamais ouvrir de courriels et encore moins de pièces jointes prevenant d'une source inconnue ;
• lire les messages au format texte afin de limiter les risques d'un lien hypertexte trompeur ;
• maintenir à jour l'ensemble de son système (système d'exploitation, antivirus, navigateur, client de messagerie, ...) ;
• se méfier des messages surfant sur l'actualité surtout si ces derniers sont écrits en langue étrangère.

2 Un scanner de vulnérabilités pour Joomla!

Cette semaine a vu la sortie d'un outil permettant de scanner les vulnérabilités du gestionnaire de contenu Joomla!. Cet outil a notamment la particularité d'avoir une base de signatures de vulnérabilités à tester pouvant être mise à jour. Cette application, écrite en langage Perl, teste toutes les vulnérabilités connues de Joomla! et de ses composants au moyen de requêtes de type GET ou HEAD. Chacun de ces tests produit une connexion sur le serveur web et laissera donc une trace dans les journaux des connexions du serveur. Il est constaté que, dans la configuration par défaut de l'outil, l'auteur a usurpé un identifiant de navigateur « légitime » (le UserAgent) :

Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.9.0.3) Gecko/2008092417 
Firefox/3.0.3

Le CERTA rappelle qu'il est important de suivre les correctifs de sécurité des applications utilisées, de connaître l'exhaustivité des modules complémentaires installés et de supprimer, le cas échéant, les extensions non-utilisées.

Même si cet outil peut être utilisé dans une démarche légitime de durcissement de la sécurité du Joomla! que vous maîtrisez, le CERTA rappelle que certains individus malveillants pourraient en détourner son usage afin de mettre en évidence une vulnérabilité et automatiser son exploitation. La surveillance systématique des journaux des connexions peut permettre de mettre en évidence un comportement malveillant, tel que celui de passer en revue toutes les vulnérabilités d'un produit.

Documentation

• Note d'information du CERTA sur la gestion des journaux d'événements :

  http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-005/
  

• Note d'information du CERTA sur le bon usage de PHP :

  http://www.certa.ssi.gouv.fr/site/CERTA-2007-INF-002/
  

• Note d'information du CERTA sur les bons réflexes en cas d'intrusion sur un système d'information :

  http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/
  

3 Objet offert, canal caché ?

La clef en question se monte en système de fichier VFAT et un listage indique que la clef est vide. En approfondissant, des résidus d'informations étaient présents. Dans le cas traité, cela comprenait des types de partition, des noms de fichiers, des champs, une adresse réticulaire (URL), etc., bref une large variété d'informations. Le traitement réalisé ne permet pas de savoir si ces informations proviennent du producteur des clefs ou du commanditaire de la fabrication. En tout état de cause, la réalisation de supports distribués aux participants à une réunion ou aux clients doit être entourée de précautions évitant cette fuite d'informations.

Un simple formattage est insuffisant. Il convient de surcharger tout le volume, puis de le formater et enfin d'y copier les fichiers que l'on souhaite remettre aux destinataires de l'objet.

La même recommandation est applicable à tous les supports contenant une mémoire (DVD, CD, cadre photo, lecteur MP3 ou baladeur...).

4 Rappel des avis émis

Dans la période du 26 juin au 03 juillet 2009, le CERTA a émis les avis suivants :

• CERTA-2009-AVI-256 : Vulnérabilité du pilote Intel PRO/1000
• CERTA-2009-AVI-257 : Multiples vulnérabilités de HP-UX Apache Web Server Suite
• CERTA-2009-AVI-258 : Vulnérabilité du client Samba
• CERTA-2009-AVI-259 : Vulnérabilité du serveur Samba
• CERTA-2009-AVI-260 : Multiples vulnérabilités dans Cisco Adaptive Security Appliance
• CERTA-2009-AVI-261 : Vulnérabilités de Sun Java Web Console
• CERTA-2009-AVI-262 : Vulnérabilité de Sun Java System Access Manager
• CERTA-2009-AVI-263 : Multiples vulnérabilités dans Joomla!
• CERTA-2009-AVI-264 : Vulnérabilité dans HP-UX

Pendant la même période, l'avis suivant a été mis à jour :

• CERTA-2009-AVI-192-001 : Vulnérabilités dans OpenSSL (ajout des références aux bulletins de sécurité OpenSSL, IBM, Ubuntu et aux CVE)

Gestion détaillée du document

03 juillet 2009

version initiale.