Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2008-ACT-035

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 29 août 2008
No CERTA-2008-ACT-035

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-35


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-035

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-035.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-035/

1 Des mots de passe trop faibles

Cette semaine le CERTA a traité un incident relatif à la compromission de plus de 300 machines en France. Le CERTA a été informé par le CERT-Renater de la présence sur l'Internet d'un fichier recensant les identifiants de connexion SSH de plus de 5000 machines dans le monde. Le CERTA a rapidement informé les victimes potentielles et les hébergeurs de ces machines. Dans la cadre de la coopération internationale, le CERTA a informé ses homologues de l'existence de cette liste.

Les identifiants de connexion, présents dans cette liste, semblaient être le résultat d'attaque par dictionnaire révélant des mots de passe triviaux comme :

  • un mot d'un dictionnaire ;
  • un mot de passe inférieur à 8 caractères ;
  • un mot de passe identique au compte ;
  • des chiffres ajoutés avant ou après un mot du dictionnaire.

Le CERTA rappelle qu'un bon mot de passe (dit fort) doit être difficile à deviner, même à l'aide d'outils automatisés, mais facile à retenir pour l'utilisateur. La note d'information du CERTA sur les mots de passe pourra aiguiller le lecteur dans ses choix.

Certains comptes compromis révèlent également un défaut de paramétrage du serveur :

  • présence d'un service SSH inutile ;
  • autorisation de se connecter avec un utilisateur ayant des droits d'administration ;
  • comptes de services autorisés à se connecter par SSH.

Le CERTA rappelle également que les services permettant l'accès distant doivent être arrêtés, quand ils ne sont pas utiles, ou limités aux machines et comptes autorisés.

De plus, dans l'actualité de cette semaine, le CERTA a été informé que des individus malveillants se servaient d'identifiants SSH compromis pour élever leurs privilèges sur les machines et installer des boites à outils malveillantes (rootkits). Il est donc important, suite à une compromission, d'analyser et de surveiller le comportement du serveur.

1.1 Documentation

2 Des paquets (RPM) de Red Hat SSH compromis

Vendredi 22 août 2008, la société Red Hat a publié un bulletin de sécurité faisant état de deux problèmes :

  • la correction d'une vulnérabilité ancienne, CVE-2007-4752 ;
  • la falsification de paquets après une intrusion en août 2008, CVE-2008-3844.

La falsification a consisté en l'ajout d'un cheval de Troie dans certains paquets SSH. La société estime que les mesures prises pour le canal officiel de distribution des paquets, Red Hat Network, sont suffisantes pour contrer la distribution des paquets illégalement modifiés. Elle alerte donc les utilisateurs qui se procurent les paquets par des moyens alternatifs. Red Hat fournit un script en langage de commande (shell) pour déceler la présence de paquets falsifiés sur un ordinateur.

Sans douter de l'honnêteté de la société Red Hat, il convient de se rappeler de la difficulté de cerner une intrusion, y compris pour une société de cette nature. Par conséquent, il est prudent de surveiller le trafic des ordinateurs utilisant les systèmes d'exploitation Red Hat.

La portée de l'intrusion peut également être difficile à estimer sur un système victime de la fraude. Ainsi, le script de détection de paquets contrefaits ne devrait pas être exécuté sur un ordinateur suspect. Il devrait être exécuté à partir d'un système sain (liveCD ou machine autre ayant le disque de l'ordinateur suspect en périphérique)

Le CERTA recommande de récupérer les logiciels auprès des éditeurs ou des mirroirs et distributeurs officiels. La société Red Hat met en garde contre l'acquisition de RPM SSH par des canaux autres que son réseau.

2.1 Documentation

3 Mise à jour de MS08-051

Dans son lot de mises à jour du mois d'août 2008, Microsoft a corrigé trois vulnérabilités présentes dans différentes versions de son logiciel PowerPoint et permettant l'exécution de code arbitraire à distance. Comme d'habitude, les mises à jour étaient disponibles automatiquement via Microsoft Update et Office Update, et manuellement via le centre de téléchargement. L'éditeur a cependant indiqué la semaine dernière que les fichiers mis à disposition sur le centre de téléchargement étaient des mauvaises versions. Selon Microsoft, les fichiers proposés corrigeaient tout de même les vulnérabilités décrites dans le bulletin, mais ne contenaient pas d'autres mises à jour de fiabilité et de sécurité importantes.

Ainsi, toutes les personnes ayant effectué la mise à jour via le centre de téléchargement sont invitées à télécharger la nouvelle mise à jour notée « version 2. » Les utilisateurs qui ont installé le correctif pour MS08-051 via Microsoft Update ou Office Update n'ont pas besoin de le réinstaller.

3.1 Documentation

4 Gestion externalisée des marque-pages

À l'instar de certains services qui permettent de partager des fichiers entre une machine professionnelle et une machine « à domicile » (voir Foldershare dans le bulletin d'actualité CERTA-2007-ACT-015), il existe des services disponibles sur l'Internet qui facilitent la gestion des marque-pages. Le principe est le même : il s'agit de transmettre à un tiers « de confiance » un ensemble de pointeurs vers vos sites préférés.

La transmission de vos signets à un tiers peut servir à réaliser des statistiques. Néanmoins, il s'agit d'une fuite d'informations qui peut avoir des conséquences, notamment en termes de sécurité :

  • des liens internes professionnels peuvent être indexés. Confier à un tiers de tels marque-pages peut donner des renseignements sur l'architecture interne du réseau ;
  • certains signets sont suffisamment explicites pour dévoiler des centres d'intérêt de l'utilisateur ou de son entreprise/organisme ;
  • les signets d'un utilisateur peuvent être exploités dans le cadre d'une attaque ciblée. En effet, un attaquant peut chercher à insérer un code malveillant (via une injection SQL par exemple) dans une des pages indexées dans votre navigateur.

Avant de faire appel à un tel service, il est important de vérifier que celui-ci est conforme à votre politique de sécurité et d'être sensibilisé aux risques qui en découlent.

4.1 Documentation


5 Rappel des avis émis

Dans la période du 22 au 28 août 2008, le CERTA a émis les avis suivants :

  • CERTA-2008-AVI-427 : Vulnérabilité dans divers produits Trend Micro
  • CERTA-2008-AVI-428 : Vulnérabilités dans des mises à jour sous Red Hat
  • CERTA-2008-AVI-429 : Vulnérabilité de Xen
  • CERTA-2008-AVI-430 : Vulnérabilité dans Ruby
  • CERTA-2008-AVI-431 : Vulnérabilité de IBM DB2


Liste des tableaux

Gestion détaillée du document

29 août 2008
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-11-27