1 Incidents de la semaine

1.1 FCKeditor, le retour

Le logiciel FCKeditor, désormais appelé CKEditor, est un éditeur de texte qui peut être utilisé pour des pages Web. Il est doté d’une fonctionnalité de dépôt de fichiers. Cette fonctionnalité peut aisément être détournée par un attaquant pour charger sur le serveur de fichiers, de la simple défiguration à l’entreposage de contenus illégaux. Il est directement intégré dans certains gestionnaires de contenu. Ainsi, des contributions au projet SPIP permettent l’intégration de ce logiciel.

Le CERTA a signalé à l’un de ses correspondants une insertion illégitime de fichier sur l’un de ses sites web. L’analyse a rapidement montré l’utilisation du logiciel FCKeditor par l’intrus pour déposer son fichier. Le CERTA avait fait part d’une vague d’intrusions basées sur cet utilitaire (voir section Documentation). L’incident de cette semaine prouve que la méthode a toujours cours.

Dans le même temps, plusieurs défigurations touchant des sites du secteur privé ont été perpétrées par le même intrus. Certains de ces sites utilisent le même gestionnaire de contenu que le correspondant du CERTA cité ci-dessus. Il n’est pas exclus que l’éditeur intégré a été également utilisé.

1.1.1 Recommandations

Le CERTA recommande, face à cette situation :

  • de mettre, comme toujours, ses systèmes et ses logiciels à jour ;
  • de n’autoriser l’accès aux moyens de modifier le contenu (FCKeditor, FTP, SSH…) qu’aux utilisateurs et aux adresses nécessaires ;
  • d’utiliser des mots de passe forts pour ces modifications ;
  • de (faire) vérifier régulièrement la salubrité des postes de travail à partir desquels les modifications sont faites. Un mot de passe fort est en effet inutile si un cheval de Troie sur un tel poste copie et diffuse à volonté ce mot de passe ;
  • de n’allouer que les droits indispensables aux processus liés à ces outils de modification ;
  • de désactiver ces moyens dès lors qu’ils ne sont plus indispensables ;
  • de mettre en place un système de vérification de l’intégrité du serveur ;
  • de journaliser les modifications et d’analyser régulièrement les journaux.

La vigilance doit être encore plus grande lorsque le site web est sur un serveur mutualisé. Le défaut de cloisonnement ou des droits trop importants peuvent permettre à un intrus d’entrer par un site faible (par exemple avec FCKeditor accessible à tout l’Internet) pour rebondir ensuite sur tous les sites web hébergés.

1.1.2 Documentation

Rappel des avis émis

Dans la période du 17 au 23 janvier 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :