Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-052

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 30 décembre 2011
No CERTA-2011-ACT-052

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-52


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-052

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-052.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-052/

1 Bilan de l'année

L'année 2011 s'achève. Naturellement, c'est donc le moment des bilans et des bonnes résolutions ! Comme tous les ans, l'année a été particulièrement riche dans le domaine de la SSI. Cette année, le traitement d'infections de grandes ampleurs au sein de réseaux (administration, OIV, ...) constitue probablement un tournant important dans nos activités. Sans partir dans des élucubrations, il s'agit, dans de nombreux cas traités, d'affaires d'espionnage industriel ou économique de grandes ampleurs. Les attaquants compromettent puis s'installent durablement dans les réseaux afin de collecter toutes les données qui les intéressent.

L'année 2011 a aussi été marquée par une augmentation du nombre d'avis publiés par le CERTA. Pas moins de 730 avis et 8 alertes ont ainsi été diffusés. Les attaques exploitant des vulnérabilités présentes dans les formats bureautiques ont encore eu beaucoup d'impacts. Le CERTA a pu constater dans les incidents qu'il est amené à traiter la forte augmentation d'attaques par le biais de fichiers PDF. Aussi, en cette fin d'année, il ne faut pas relâcher sa vigilance lors de l'ouverture de certains courriels et des traditionnelles cartes de vœux électroniques. Il est important de noter qu'à la date d'écriture de cet article, une alerte est toujours en cours sur une faille PDF critique non corrigée dans les produits Adobe Acrobat X et Adobe Reader X (CERTA-2011-ALE-008).

Les attaques visant l'atteinte à la disponibilité (déni de service) ont aussi été pléthoriques cette année. Il est important dans notre domaine de pouvoir anticiper de telles menaces. La protection contre les attaques en DDoS (déni de service distribué) illustre parfaitement ce principe, car si des solutions de protection existent et sont maintenant relativement matures, elles sont toutefois extrêmement complexes à mettre en œuvre dans le feu de l'action et doivent donc être impérativement anticipées.

D'un point de vue plus organisationnel, l'Agence nationale de la sécurité des systèmes d'information (ANSSI), dont le CERTA fait partie, continue sa croissance. Le CERTA rappelle que des postes sont toujours à pourvoir au sein de l'équipe et plus largement au sein de l'ANSSI. Les offres d'emploi sont disponibles à l'adresse suivante :

http://www.ssi.gouv.fr/fr/anssi/emploi/

Le bulletin d'actualité est, pour le CERTA, le moyen de partager sa vision et son expérience en matière de traitement d'incident. Les retours sur cette production sont toujours fortement appréciés. N'hésitez donc pas à nous faire part de vos remarques. Il ne nous reste plus qu'à vous souhaiter une excellente fin d'année 2011 et une bonne année 2012 et à vous donner rendez-vous l'année prochaine pour continuer ensemble l'effort global de sécurisation de nos systèmes d'information. Très bonne et heureuse année à toutes et à tous !

2 Vulnérabilité dans certains démons et clients Telnet

Bien qu'assez ancien, le protocole Telnet reste tout de même relativement utilisé, notamment dans le cadre de l'administration distante d'équipement réseau. Aussi, une vulnérabilité touchant un démon ou un client Telnet représente une réelle menace.

La vulnérabilité CVE-2011-4862 touchant le démon Telnet installé par défaut sur FreeBSD, divulguée le 25 décembre de cette année, représente donc un bien beau cadeau de Noël pour les attaquants. En effet, cette vulnérabilité permet de prendre le contrôle complet d'une machine distante (invite de commande root) utilisant ce démon et ce sans authentification.

De plus, il s'avère que cette vulnérabilité touche aussi d'autres implémentations de Telnet. En effet, le module vulnérable est utilisé dans d'autres implémentations. C'est le cas notamment du démon Telnet inclus dans MIT Kerberos (versions 5 et antérieures) ainsi que dans le package inetutils.

Pire, certains clients, lorsqu'ils sont compilés avec les options de prise en compte de la cryptographie, sont aussi vulnérables. Ainsi, une connexion sur un faux serveur Telnet peut conduire un attaquant à prendre le contrôle complet de la machine client.

D'un point de vue technique, la fonction fautive encrypt_keyid, située dans le fichier encrypt.c, est vulnérable à un dépassement de tampon lors de la réception des options de négotiation de la clé cryptographique. Ce type de vulnérabilité, bien connu, est relativement simple à exploiter. Des codes d'exploitation fonctionnels sont d'ailleurs disponibles librement sur Internet.

Le CERTA recommande donc une grande vigilance vis-à-vis de cette vulnérabilité. Il est notamment conseillé aux utilisateurs de FreeBSD n'ayant pas besoin d'un serveur Telnet de le désactiver. Il est aussi préférable d'utiliser des versions du client Telnet ne supportant pas les options cryptographiques, dans le cas où de la cryptographie n'est pas nécessaire (c'est par exmenple le cas du client Telnet disponible sur un installation Debian de base). Un correctif est par ailleurs disponible. Cependant, ce dernier n'est pour l'instant présent que dans les dépôts des différents éditeurs, les versions binaires devraient suivre sous peu.

3 Déni de service HashDOS

Une nouvelle technique pour réaliser un déni de service sur un site Internet a été présentée à la conférence 28c3 (28th Chaos Communication Congress) à Berlin. Cette technique utilise une faille de conception présente dans la plupart des langages de programmation Web (PHP, Python, Ruby, ASP.NET, Java...). Lors du traitement d'une requête, un condensat simple de chaque paramètre est réalisé. La mise en base des condensats d'un grand nombre de paramètres est normalement très rapide. Cependant, s'il y a un grand nombre de collisions dans les condensats la vitesse de mise en base est beaucoup plus lente.

L'attaque consiste donc à envoyer au serveur des requêtes très longues, contenant de très nombreux paramètres qui ont tous le même condensat ; ces paramètres sont relativement faciles à calculer pour l'attaquant car il ne s'agit pas de condensats cryptographiques forts. Selon les calculs effectués par les chercheurs, 500ko de requêtes spécialement conçues engendrent une minute de temps de traitement sur un serveur PHP muni d'un processeur Intel Core i7. Avec un débit de moins de 100kbits/s un attaquant peut occuper à 100% un serveur PHP muni d'un processeur Intel Core i7. Avec un débit de 6kbits/s un attaquant peut occuper à 100% un serveur Java+Tomcat muni d'un processeur Intel Core i7.

Une fois un important volume de données engendrant le même condensat calculé pour un langage donné, il peut être utilisé pour attaquer n'importe quel serveur utilisant ce langage, et être très facilement diffusé sur Internet.

Des mises à jour ont été publiées, qui permettent aux administrateurs de site de mettre en place des solutions de contournement : limiter la taille des requêtes acceptées, limiter le nombre de paramètres acceptables dans une requête. Une autre solution de contournement est de limiter le temps processeur disponible par fil d'exécution.

Le CERTA recommande d'installer ces mises à jour au plus tôt et d'adapter les nouveaux paramètres aux besoins.

Documentation :


4 Rappel des avis émis

Dans la période du 23 décembre au 29 décembre 2011, le CERTA a émis les publications suivantes :

  • CERTA-2011-AVI-717 : Vulnérabilités dans Moodle
  • CERTA-2011-AVI-718 : Vulnérabilité dans telnetd sur FreeBSD
  • CERTA-2011-AVI-719 : Vulnérabilité dans phpMyAdmin
  • CERTA-2011-AVI-720 : Vulnérabilité dans phpMyAdmin
  • CERTA-2011-AVI-721 : Multiples vulnérabilités dans HP Managed Printing Administration
  • CERTA-2011-AVI-722 : Vulnérabilité dans pam_ssh sur FreeBSD
  • CERTA-2011-AVI-723 : Multiples vulnérabilités dans les produits Websense
  • CERTA-2011-AVI-724 : Vulnérabilité dans IBM Lotus Domino
  • CERTA-2011-AVI-725 : Vulnérabilité dans IBM DB2
  • CERTA-2011-AVI-726 : Multiples vulnérabilités dans F5 Enterprise Manager

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2011-ALE-007-001 : Vulnérabilité dans ftpd et ProFTPD sur FreeBSD (ajout des correctifs FreeBSD)
  • CERTA-2011-AVI-706-001 : Vulnérabilité dans OpenPAM (ajout des correctifs FreeBSD)

Gestion détaillée du document

30 décembre 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-12-19