S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 janvier 2011
N° CERTA-2011-ACT-002
Affaire suivie par: CERT-FR
le 14 janvier 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-02

Gestion du document

Référence CERTA-2011-ACT-002
Titre Bulletin d’actualité 2011-02
Date de la première version 14 janvier 2011
Date de la dernière version 14 janvier 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Compromission d’un serveur Web

Cette semaine, le CERTA a traité le cas d’un serveur Web compromis, impliqué dans une attaque en déni de service. L’analyse de cette machine a permis de mettre en évidence l’exploitation d’une faille de phpMyAdmin connue depuis mars 2009 (voir avis CERTA-2010-AVI-117). Le principe de cette faille consiste à effectuer une opération de sauvegarde de nouvelle configuration, cette dernière correspondant en réalité à du code PHP exécutable. Une telle attaque laisse des traces significatives dans les journaux, par exemple :

<IP attaquant> – – [13/01/2011:20:18:51 +0100] « POST /phpmyadmin/scripts/setup.php
HTTP/1.1 » 200 284789 « Opera »

L’attaquant a par la suite installé divers outils dans le répertoire /var/tmp/ » «  (le nom du sous-répertoire n’est composé que d’un seul « espace »).

Le serveur ainsi compromis a été utilisé comme robot IRC. Il recevait des instructions d’attaque (déni de service ou exploitation de vulnérabilités) au travers d’un canal IRC.

La lecture des journaux du serveur indique que celui-ci était régulièrement compromis par cette faille de phpMyAdmin.

Les incidents de ce type ne sont pas isolés. C’est la raison pour laquelle le CERTA recommande d’entreprendre les actions suivantes :

  • mettre à jour systématiquement les logiciels utilisés. L’application du correctif de phpMyAdmin dès sa publication aurait empêché la compromission du serveur ;
  • filtrer les connexions sortantes du serveur. Dans notre cas, un filtrage des connexions vers des serveurs IRC aurait fortement limité l’impact de la compromission ;
  • lire les journaux, et rechercher notamment les requêtes POST réussies sur le fichier setup.php ;
  • vérifier régulièrement le contenu du répertoire /var/tmp car les intrus y déposent souvent une partie de leurs outils (ce n’est pas systématique).

Documentation :

2 Mises à jour Microsoft du mois de janvier

Cette semaine, Microsoft a publié deux bulletins de sécurité dans le cadre de ses mises à jour mensuelles.

Le premier bulletin concerne une vulnérabilité dans le gestionnaire de sauvegarde de Windows Vista et permet à une personne malveillante d’exécuter du code arbitraire à distance. Le deuxième bulletin concerne deux vulnérabilités et tous les systèmes Microsoft Windows. Leur exploitation permet l’exécution de code arbitraire au moyen d’une page web spécialement conçue.

Cette semaine, le CERTA a également mis à jour l’alerte CERTA-2010-ALE-021 sur Internet Explorer qui n’a pas été corrigée par le lot de correctifs de janvier. Un contournement provisoire a en revanche été publié par Microsoft. Celui-ci modifie la bibliothèque MSHTML.DLL et il est impératif d’avoir auparavant installé la mise à jour MS10-090 du 14 décembre 2010. L’application de ce contournement est fortement recommandée, toutefois la prudence s’impose quant aux éventuels effets de bord.

Rappel des avis émis

Dans la période du 03 au 09 janvier 2011, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 14 janvier 2011
    version initiale.