Objet: CERTA-2012-ACT-034

1 Compromissions c3284d

Depuis juin 2012, de nombreux sites Web font l’objet de compromissions répétées, qui se manifestent par l’ajout de code javascript provoquant des redirections vers des sites malveillants. L’ajout de ce code javascript peut se faire dans les fichiers .php, .html ou .htaccess. Quel que soit le type du fichier modifié, le code javascript contient la chaîne de caractères c3284d.

Le CERTA a déjà été amené à traiter plusieurs de ces compromissions. Dans certains cas, lors d’une navigation sur le site Web compromis, le code javascript s’affiche au lieu de s’exécuter. Dans tous les cas analysés par le CERTA, les attaquants ont utilisé des identifiants FTP légitimes. Les connexions FTP ont lieu régulièrement (presque tous les jours), depuis des adresses IP différentes. À chacune de ces connexions, il y a dépôt puis suppression d’un ou plusieurs fichiers composés d’une chaîne de huit caractères et de l’extension .gif.

Le CERTA recommande :

• de rechercher l’éventuelle présence de la chaîne de caractères c3284d dans les arborescences des sites Web ;
• de vérifier dans les journaux FTP la présence de connexions illégitimes ;
• de filtrer les accès FTP ;
• de vérifier l’intégrité des postes ayant été redirigés après navigation sur un site Web compromis.

2 Publication d’un avis de sécurité Microsoft sur la vulnérabilité MS-CHAPv2

Le CERTA a évoqué dans le bulletin d’actualité CERTA-2012-ACT-032 les dangers liés l’utilisation du protocole d’authentification MS-CHAPv2. Pour rappel, un nouvel outil visant MS-CHAPv2 a récemment été publié. Celui-ci permet un attaquant diposant d’un défi-réponse d’obtenir le secret d’authentification, théoriquement protégé par le protocole. Microsoft a publié cette semaine un avis de sécurité qui rappelle que les VPN basés sur PPTP sont affectés et donne des recommandations pour contourner ces vulnrabilités inhérentes au protocole. Le CERTA recommande d’étudier les solutions proposées pour les appliquer, après une évaluation d’impact.

Références

• Bulletin d’actualité CERTA-2012-ACT-032

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-032/index.html
  

• Avis de sécurité Microsoft (2743314)

  http://technet.microsoft.com/fr-fr/security/advisory/2743314
  

  http://technet.microsoft.com/en-us/security/advisory/2743314
  

• Weaknesses in MS-CHAPv2 authentication

  http://blogs.technet.com/b/srd/archive/2012/08/20/weaknesses-in-ms-chapv2-authentication.aspx
  

3 Rappel des avis émis

Dans la période du 17 août 2012 au 23 août 2012, le CERTA a émis les publications suivantes :

• CERTA-2012-AVI-444 : Vulnérabilité dans Cisco IOS XR
• CERTA-2012-AVI-445 : Vulnérabilité dans Adobe Flash Player
• CERTA-2012-AVI-446 : Vulnérabilités dans Adobe Shockwave Player
• CERTA-2012-AVI-447 : Vulnérabilités dans HP Fortify
• CERTA-2012-AVI-448 : Vulnérabilités dans Adobe Reader X et Adobe Acrobat X
• CERTA-2012-AVI-449 : Vulnérabilité dans phpMyAdmin
• CERTA-2012-AVI-450 : Vulnérabilité dans HP Service Manager et HP Service Center Server
• CERTA-2012-AVI-451 : Vulnérabilité dans HP Service Manager Web Tier et HP Service Center Tier
• CERTA-2012-AVI-452 : Multiples vulnérabilités dans Java pour HP-UX
• CERTA-2012-AVI-453 : Vulnérabilité dans HP Integrity Server
• CERTA-2012-AVI-454 : Vulnérabilités dans Roundcube
• CERTA-2012-AVI-455 : Vulnérabilités dans PostgreSQL
• CERTA-2012-AVI-456 : Vulnérabilité dans Apple Remote Desktop
• CERTA-2012-AVI-457 : Multiples vulnérabilités dans Wireshark
• CERTA-2012-AVI-458 : Vulnérabilités dans Xen
• CERTA-2012-AVI-459 : Multiples vulnérabilités dans Adobe Flash Player
• CERTA-2012-AVI-460 : Multiples vulnérabilités dans Apache Web Server
• CERTA-2012-AVI-461 : Multiples vulnérabilités dans Lotus Domino
• CERTA-2012-AVI-462 : Vulnérabilité dans HP Serviceguard
• CERTA-2012-AVI-463 : Vulnérabilité dans certains produits Avaya
• CERTA-2012-AVI-464 : Vulnérabilité dans IBM Power Hardware Management Console

Durant la même période, les publications suivantes ont été mises à jour :

• CERTA-2012-ALE-003-003 : Vulnérabilité dans Microsoft XML Core Services (ajout de la solution )

Rappel des avis émis

Dans la période du 13 au 19 août 2012, le CERT-FR a émis les publications suivantes :

• CERTA-2012-AVI-428 : Vulnérabilité dans Xen
• CERTA-2012-AVI-429 : Vulnérabilité dans Oracle Database Server
• CERTA-2012-AVI-430 : Vulnérabilités dans PHP
• CERTA-2012-AVI-431 : Vulnérabilités dans les produits IBM WebSphere
• CERTA-2012-AVI-432 : Vulnérabilité dans Cisco Emergency Responder
• CERTA-2012-AVI-433 : Vulnérabilité dans Cisco IOS
• CERTA-2012-AVI-434 : Vulnérabilité dans libTIFF
• CERTA-2012-AVI-435 : Multiples vulnérabilités dans Internet Explorer
• CERTA-2012-AVI-436 : Vulnérabilité dans Windows Remote Desktop Protocol
• CERTA-2012-AVI-437 : Multiples vulnérabilités dans les composants réseau Microsoft Windows
• CERTA-2012-AVI-438 : Vulnérabilité dans le noyau Windows
• CERTA-2012-AVI-439 : Vulnérabilité dans les moteurs JScript et VBScript de Microsoft
• CERTA-2012-AVI-440 : Vulnérabilité dans Microsoft Office
• CERTA-2012-AVI-441 : Multiples vulnérabilités dans Microsoft Exchange Server
• CERTA-2012-AVI-442 : Vulnérabilité dans Microsoft Visio
• CERTA-2012-AVI-443 : Vulnérabilité dans Microsoft Common Controls
• CERTA-2012-AVI-444 : Vulnérabilité dans Cisco IOS XR
• CERTA-2012-AVI-445 : Vulnérabilité dans Adobe Flash Player
• CERTA-2012-AVI-446 : Vulnérabilités dans Adobe Shockwave Player
• CERTA-2012-AVI-447 : Vulnérabilités dans HP Fortify
• CERTA-2012-AVI-448 : Vulnérabilités dans Adobe Reader X et Adobe Acrobat X

Durant la même période, les publications suivantes ont été mises à jour :

• CERTA-2012-ALE-003-003 : Vulnérabilité dans Microsoft XML Core Services
• CERTA-2012-ALE-004-001 : Vulnérabilité dans Microsoft Exchange et Fast Search Server 2010