1 Activité en cours
1.1 Incidents traités
1.1.1 Caïn et Abel
Le CERTA a été contacté afin de donner un avis technique sur un incident touchant plusieurs machines. Ayant remarqué un ralentissement anormal, l’administrateur a repéré la présence du logiciel Caïn et Abel (outil utilisant de multiples techniques pour découvrir des mots de passe) sur trois serveurs. Ce programme a été transmis par l’administrateur à l’éditeur de l’antivirus utilisé sur son réseau afin que les bases de signature soient mises à jour, ce qui a permis de découvrir d’autres machines « infectées ».
L’installation de ce logiciel a été rendue possible pour différentes raisons dont en particulier :
- une faible qualité des mots de passe ;
- une gestion trop permissive des droits des utilisateurs ;
- une authentification des machines sur l’intranet insuffisante.
1.1.2 Compromission d’un serveur SSH
Le CERTA a été informé de la compromission d’un serveur suite à l’exploitation d’un mot de passe faible pour un compte n’ayant pas les privilèges de l’administrateur. La machine compromise était utilisée comme rebond afin de découvrir d’autres serveurs avec des comptes utilisant des mots de passe faibles. Les compromissions de ce type laissent des traces flagrantes dans les journaux.
Recommandations :
Le CERTA constate que de nombreux incidents sont liés à une problématique de mots de passe et rappelle les bonnes pratiques élémentaires suivantes :
- avoir une politique de gestion des mots de passe cohérente avec les enjeux de sécurité (CERTA-2005-INF-001) ;
- ne pas donner aux utilisateurs des privilèges d’administration ;
- ne pas autoriser l’utilisation de machines personnelles sur les intranet ;
Il existe de nombreux outils (dont certains sont gratuits) permettant de tester la robustesse des mots de passe. Une utilisation de tels outils pour détecter les mots de passe faibles peut éviter les compromissions de ce type.
Rappel des avis émis
Dans la période du 20 au 26 mars 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-ALE-002-001 : Multiples vulnérabilités dans Microsoft Internet Explorer
- CERTA-2006-ALE-003 : Vulnérabilité de Sendmail
- CERTA-2006-AVI-116-002 : Vulnérabilité dans cURL
- CERTA-2006-AVI-117 : Vulnérabilité dans HP-UX
- CERTA-2006-AVI-118 : Vulnérabilités dans Veritas Backup Exec Remote Agents
- CERTA-2006-AVI-119 : Vulnérabilité dans Backup Exec Windows Servers
- CERTA-2006-AVI-120-001 : Vulnérabilité du serveur X.Org-X11
- CERTA-2006-AVI-121-004 : Vulnérabilité dans FreeRADIUS
- CERTA-2006-AVI-122 : Vulnérabilité de phpMyAdmin
- CERTA-2006-AVI-123 : Vulnérabilité dans qmailadmin
- CERTA-2006-AVI-124-005 : Vulnérabilité de Sendmail
- CERTA-2006-AVI-125 : Vulnérabilité dana la mise en œuvre IPsec de FreeBSD
- CERTA-2006-AVI-126 : Vulnérabilité de l’authentification OPIE dans FreeBSD
- CERTA-2006-AVI-127-003 : Multiples vulnérabilités dans RealPlayer
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2005-AVI-314-002 : Vulnérabilité d’Evolution
- CERTA-2006-AVI-094-001 : Vulnérabilité de unzip
- CERTA-2006-AVI-109-001 : Vulnérabilité dans Metamail
- CERTA-2006-AVI-114-002 : Vulnérabilités dans Flash Player
