Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2009-ACT-052

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 24 décembre 2009
No CERTA-2009-ACT-052

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-52

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-052

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-052.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-052/

1 Attaques ciblant phpMyVisites

L'application phpMyVisites a fait l'objet d'une très importante mise à jour de sécurité le 16 décembre 2009 (avis CERTA-2009-AVI-560). Ce correctif fait suite à l'exploitation d'une vulnérabilité d'un module tiers, appelé Clickheat, fourni avec phpMyVisites. La nouvelle version du logiciel n'intègre plus cette extension vulnérable.

De plus, les développeurs de phpMyVisites ont publié une page dédiée à des attaques constatées début décembre 2009. En particulier, un serveur compromis pourrait contenir les fichiers suivants :

  • phpmv2/datas/thumbs.php ;
  • styles.css.php ;
  • fotter.php ;
  • s.php ;
  • un fichier PHP ayant pour nom une série de chiffres, par exemple 8475875.php.

La compromission est susceptible de s'étendre à tout le serveur, pas uniquement au répertoire de phpMyVisites. Un des correspondants du CERTA a déjà signalé une telle compromission, survenue le 5 décembre 2009. L'intrus n'a pas défiguré le site Web, donc l'attaque ne laisse pas de traces évidentes (en dehors des journaux). Par contre, l'attaquant a déposé de nombreuses portes dérobées et a peut-être exploité des vulnérabilités du noyau pour élever ses privilèges et devenir administrateur du serveur.

Le CERTA recommande à tous les administrateurs de sites fonctionnant avec phpMyVisites de rechercher dans les journaux d'accès les appels au module Clickheat (par exemple à l'aide de la commande grep -i clickheat access.log). De tels accès, notamment à l'aide de requêtes POST, sont caractéristiques d'une compromission. Tout administrateur constatant une telle activité dans ses journaux est invité à contacter le CERTA.

2 Attaquer le serveur DNS plutôt que le site Web cible

Twitter, le célèbre site de microblogging (http://www.twitter.com) a subi une attaque le 18 décembre 2009. Dans la matinée de cette journée, la majorité des internautes qui tentaient de se connecter sur le site Web de Twitter arrivaient sur un site affichant une page de revendication anti-américaine, signée par « l'Iranian Cyberarmy ».

À la lumière des éléments publics de l'attaque, le site Web de Twitter n'a vraisemblablement subi aucune agression. Les pirates ont en fait visé le système DNS de Twitter. La société Twitter utilise une offre externalisée de DNS, qui a pour rôle de résoudre les requêtes. Ainsi, lorsqu'un internaute souhaite se connecter à Twitter, son navigateur Web va émettre une demande de résolution DNS, afin de transformer le nom www.twitter.com en adresse IP, par exemple 168.143.162.36. Les attaquants ont réussi, en se connectant à l'interface d'administration du DNS, à modifier cette résolution, pour la faire pointer vers le site de leur choix. La suite est connue...

Cet incident peut amener quelques réflexions.

Tout d'abord, commençons par la revendication du piratage. Même si la page visible des internautes contenait des propos anti-américains, reprochant notamment l'ingérence des États-Unis envers l'Iran, aucun élément ne permet à l'heure actuelle d'identifier avec certitude les auteurs de l'attaque. Les conclusions rapides sont donc à éviter dans ce genre d'affaire, d'autant plus que le fameux groupe « Iranian Cyberarmy » ne bénéficie d'aucun historique dans les sources d'informations ouvertes...

D'autre part, cet incident n'est en soit pas nouveau, d'autres sites ont subi les mêmes types d'attaques dans le passé. L'élément intéressant ici est de bien identifier la chaine globale de confiance. Assurer la sécurité et la disponibilité d'un site Web est une tâche souvent bien plus complexe qu'il n'apparait à première vue, car de nombreux éléments doivent être pris en compte... Depuis les routeurs d'accès, les équipements de partage de charge, le réseau d'administration, les serveurs de middleware et bases de données, sans oublier les serveurs DNS et le maintien des noms de domaine, tous les maillons de la chaine ont leurs importances, et il suffit parfois d'un simple grain de sable mal placé pour que tout s'effondre.

3 Cadeaux de fin d'année malveillants

La période des fêtes de fin d'année est toujours propice à la propagation de codes malveillants. Il est en effet dans la tradition de s'échanger de nombreux cadeaux et autres cartes de v\oeux. Ces dernières, développement durable oblige, ont maintenant pris un format électronique et permettent à certains individus malintentionnés de profiter de la situation.

Il existe, en effet, de nombreux sites permettant la création et l'envoi de cartes de v\oeux virtuelles. Certains sites peuvent avoir de nombreuses façons de détourner la gentille attention en cadeau empoisonné, outre la collecte d'informations personnelles comme l'adresse électronique. Il est également envisageable d'intégrer dans la carte de v\oeux des JavaScript et autres codes dynamiques (comme Flash par exemple) afin d'exploiter des vulnérabilités dans les interpréteurs et ainsi compromettre la machine du destinataire.

En cette fin d'année, nombreuses sont les personnes qui commandent leurs cadeaux via l'Internet ou qui font livrer les cadeaux chez leurs proches. Il est ainsi aisé de profiter de cette situation afin d'émettre de faux avis de passage ou de réception de colis et ainsi pousser les utilisateurs à ouvrir des pièces jointes malveillantes.

Le CERTA rappelle qu'il existe une vulnérabilité non corrigée dans les produits Adobe Acrobat et Adobe Reader permettant d'exécuter du code arbitraire à distance et que celle-ci est susceptible d'être exploitée, sous la forme d'une carte de v\oeux par exemple. Il est fortement recommandé d'appliquer les contournements provisoires détaillés dans l'alerte CERTA-2009-ALE-023 afin de limiter les risques de compromission.

Documentation

4 Vulnérabilités des produits Citrix

La semaine dernière, l'éditeur Citrix a publié deux bulletins de sécurité :
  • CTX123649, relatif aux produits NetScaler et Access Gateway Enterprise Edition, fait référence à la vulnérabilité détaillée dans CVE-2009-4609. Cette vulnérabilité a fait l'objet d'une alerte CERTA-2009-ALE-017 puis de plusieurs avis pour les éditeurs ayant corrigé leurs produits : CERTA-2009-AVI-372, CERTA-2009-AVI-376, CERTA-2009-AVI-377 et CERTA-2009-AVI-422. Le CERTA n'a pas publié d'avis de sécurité relatif à ce bulletin Citrix car il ne constitue qu'un contournement provisoire détaillant les éléments de configuration à prendre en compte pour rendre une attaque inopérente.
  • CTX123610, relatif aux produits Clientless SSL VPN, détaille une vulnérabilité dans l'implémentation de la couche SSL de ces produits. Dans ce cas également, le CERTA n'a pas produit d'avis car la vulnérabilité dont il est question n'est pas corrigée dans ces produits Citrix mais fait simplement l'objet de contournements provisoire.

En tout état de cause, ces recommandations sont évidemment à appliquer si vous disposez de ces équipements ou si vous mettez en \oeuvre ce type de technologies.

Documentation :

http://support.citrix.com/article/CTX123649

http://support.citrix.com/article/CTX123610


5 Rappel des avis émis

Dans la période du 18 au 24 décembre 2009 , le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-548 : Vulnérabilité dans VMware vCenter Lab Manager
  • CERTA-2009-AVI-549 : Multiples vulnérabilités dans Drupal
  • CERTA-2009-AVI-550 : Multiples vulnérabilités dans Cisco WebEx WRF Player
  • CERTA-2009-AVI-551 : Multiples vulnérabilités dans IBM WebSphere
  • CERTA-2009-AVI-552 : Vulnérabilité dans des produits Horde
  • CERTA-2009-AVI-553 : Multiples vulnérabilités de PHP
  • CERTA-2009-AVI-554 : Multiples vulnérabilités dans Wireshark
  • CERTA-2009-AVI-555 : Vulnérabilités dans Adobe Flash Media Server
  • CERTA-2009-AVI-556 : Multiples vulnérabilités dans IBM AIX
  • CERTA-2009-AVI-557 : Vulnérabilités dans OSSIM
  • CERTA-2009-AVI-558 : Vulnérabilité dans IBM WebSphere Application Server Feature Pack for CEA
  • CERTA-2009-AVI-559 : Vulnérabilités dans Winamp
  • CERTA-2009-AVI-560 : Vulnérabilité dans phpMyVisites

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-149-001 : Vulnérabilité dans mod_perl pour Apache (ajout des bulletins de sécurité Sun Solaris et Mandriva )
  • CERTA-2009-AVI-508-001 : Multiples vulnérabilités dans GIMP (ajout du bulletin de sécurité Sun Solaris)

Gestion détaillée du document

24 décembre 2009
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 09/02/2012