Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2011-ACT-004

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 28 janvier 2011
No CERTA-2011-ACT-004

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-04

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-004

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-004.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-004/

1 Incidents de la semaine

1.1 FCKeditor, le retour

Le logiciel FCKeditor, désormais appelé CKEditor, est un éditeur de texte qui peut être utilisé pour des pages Web. Il est doté d'une fonctionnalité de dépôt de fichiers. Cette fonctionnalité peut aisément être détournée par un attaquant pour charger sur le serveur de fichiers, de la simple défiguration à l'entreposage de contenus illégaux. Il est directement intégré dans certains gestionnaires de contenu. Ainsi, des contributions au projet SPIP permettent l'intégration de ce logiciel.

Le CERTA a signalé à l'un de ses correspondants une insertion illégitime de fichier sur l'un de ses sites web. L'analyse a rapidement montré l'utilisation du logiciel FCKeditor par l'intrus pour déposer son fichier. Le CERTA avait fait part d'une vague d'intrusions basées sur cet utilitaire (voir section Documentation). L'incident de cette semaine prouve que la méthode a toujours cours.

Dans le même temps, plusieurs défigurations touchant des sites du secteur privé ont été perpétrées par le même intrus. Certains de ces sites utilisent le même gestionnaire de contenu que le correspondant du CERTA cité ci-dessus. Il n'est pas exclus que l'éditeur intégré a été également utilisé.

1.1.1 Recommandations

Le CERTA recommande, face à cette situation :

  • de mettre, comme toujours, ses systèmes et ses logiciels à jour ;
  • de n'autoriser l'accès aux moyens de modifier le contenu (FCKeditor, FTP, SSH...) qu'aux utilisateurs et aux adresses nécessaires ;
  • d'utiliser des mots de passe forts pour ces modifications ;
  • de (faire) vérifier régulièrement la salubrité des postes de travail à partir desquels les modifications sont faites. Un mot de passe fort est en effet inutile si un cheval de Troie sur un tel poste copie et diffuse à volonté ce mot de passe ;
  • de n'allouer que les droits indispensables aux processus liés à ces outils de modification ;
  • de désactiver ces moyens dès lors qu'ils ne sont plus indispensables ;
  • de mettre en place un système de vérification de l'intégrité du serveur ;
  • de journaliser les modifications et d'analyser régulièrement les journaux.

La vigilance doit être encore plus grande lorsque le site web est sur un serveur mutualisé. Le défaut de cloisonnement ou des droits trop importants peuvent permettre à un intrus d'entrer par un site faible (par exemple avec FCKeditor accessible à tout l'Internet) pour rebondir ensuite sur tous les sites web hébergés.

1.1.2 Documentation


2 Rappel des avis émis

Dans la période du 21 au 27 janvier 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-027 : Vulnérabilité dans IBM WebSphere
  • CERTA-2011-AVI-028 : Vulnérabilité dans IBM Tivoli
  • CERTA-2011-AVI-029 : Vulnérabilité dans HP OpenView Storage Data Protector
  • CERTA-2011-AVI-030 : Vulnérabilité dans Cisco Linksys WRT54GC
  • CERTA-2011-AVI-031 : Multiples vulnérabilités dans Bugzilla
  • CERTA-2011-AVI-032 : Vulnérabilités dans syslog-ng
  • CERTA-2011-AVI-033 : Multiples vulnérabilités dans Cisco Content Service Gateway
  • CERTA-2011-AVI-034 : Vulnérabilité dans HP OpenView Storage Data Protector
  • CERTA-2011-AVI-035 : Vulnérabilité dans HP BAC et BSM
  • CERTA-2011-AVI-036 : Multiples vulnérabilités dans les produits Symantec
  • CERTA-2011-AVI-037 : Vulnérabilités dans Opera
  • CERTA-2011-AVI-038 : Vulnérabilité dans Novell GroupWise Internet Agent

Gestion détaillée du document

28 janvier 2011
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 25/05/2012