1 Incidents traités
1.1 Considérations sur l'origine de l'intrusion
Le CERTA a traité cette semaine un incident lié à une défiguration. Après analyse, il s'avère que la page a été défigurée, mais le site Web lui-même n'en est pas la cause. L'intrusion est survenue sur un autre site Web, co-hébergé sur la même machine physique. Cet incident est un exemple concret des risques que peut engendrer un co-hébergement. En particulier, certains sites offrent des accès à des zones protégées par des mots de passe. La compromission d'un site co-hébergé permet éventuellement d'accéder de façon frauduleuse à ce type de zones, et ce quelque soit la sécurité de votre site web.
Une note d'information du CERTA peut vous aider à mieux apprécier les risques liés à l'hébergement mutualisé :
http://www.certa.ssi.gouv.fr/CERTA-2005-INF-005/
1.2 Sur l'importance des mots de passe
Un de nos correspondants a constaté avoir subi une attaque en « force brute » sur son proxy web (port 8080/tcp). De nombreux noms de compte différents ont été testés, sans succès. Ces attaques sont similaires à celles affectant SSH. D'une manière générale, il est possible que tous les services s'appuyant sur une authentification (SSH, FTP, proxy web, mais aussi POP3 et quelques accès HTTP) fassent l'objet de ce type d'attaques faciles à automatiser. Il est fortement recommandé de veiller à l'utilisation de mots de passe forts. La note d'information suivante aborde ce problème :
http://www.certa.ssi.gouv.fr/CERTA-2005-INF-001/
2 Les défigurations de site
Les défigurations peuvent servir de tribune pour des revendications à caractère politique ou social. Dans un contexte politique bien précis, ces attaques peuvent cibler n'importe quel site web. Récemment, on a pu ainsi voir des serveurs web français défigurés avec un message en référence à la loi relative à la répression de la négation du génocide arménien.
Les auteurs de ces attaques utilisent généralement des failles bien connues afin de compromettre les sites web et d'y déposer leur message. Ces failles sont toujours du même type : soit un problème de droits en écriture qui ont été laissés, soit un applicatif web mal programmé qui permet l'importation et l'exécution de fichiers externes au serveur. On remarque par ailleurs que les applicatifs web attaqués sont souvent déployés par les webmestres alors qu'ils ne sont pas utilisés.
Il est donc important de bien mettre à jour ses applications et de réfléchir au déploiement des modules optionnels.
3 Problèmes liés aux pilotes Bluetooth
Bluetooth est une technologie sans-fil, définie par les standards IEEE 802.15.X. Elle est employée dans le cadre de communications à petite distance (de l'ordre de quelques mètres). Cela inclut les synchronisations avec des assistants personnels électroniques (PDA), les périphériques de type souris, clavier, voire même les enceintes.
Plusieurs vulnérabilités ont été identifiées ces derniers mois dans certains pilotes Bluetooth fonctionnant sous Microsoft Windows. Une personne malveillante peut construire des paquets particuliers. Cela est facilité par l'existence de documents très détaillés et disponibles sur l'Internet. En émettant de tels paquets exploitant cette vulnérabilité, il lui serait possible d'exécuter des commandes arbitraires sur la machine possédant ces pilotes vulnérables. Une limitation de ces attaques repose sur le fait que le Bluetooth a une petite portée. Ceci est vrai pour des périphériques standards. Il existe cependant dans le commerce des moyens pour augmenter la distance d'intéraction à une centaine de mètres (clées USB bluetooth particulières, antennes directionnelles, etc).
Le bluetooth doit donc être considéré comme une porte d'entrée potentielle et dangereuse sur une machine ou un réseau, de la même façon qu'il faut prendre de grandes précautions avec la technologie Wi-Fi.
Recommandations :
Dans ces conditions, le CERTA recommande :
- de limiter les appareils Bluetooth, surtout si ceux-ci interagissent avec des machines sensibles ou intégrées à un réseau. C'est une porte d'entrée bien plus facile que celle qui consisterait à tromper le pare-feu du réseau ;
- de vérifier que le matériel Bluetooth des périphériques et des ordinateurs mobiles reste désactivé s'il n'est pas utilisé. Une désactivation physique est toujours préférable.
4 Problème avec Internet Explorer 7
Une vulnérabilité affectant le navigateur Internet Explorer 7 a été rendue publique. Cette faille affectait déjà la version Internet Explorer 6. Sur une version d'Internet Explorer 7 installée par défaut, et avec un Windows XP SP2 à jour, la vulnérabilité permet de récupérer des informations d'un autre site dans le contexte de l'utilisateur. Le danger provient encore d'un contrôle ActiveX (Msxml2.XMLHTTP). La sortie d'Internet Explorer 7 ne change rien aux risques liés à l'usage de ces composants. Il est donc à nouveau fortement recommandé de désactiver l'utilisation de ces composants. Le CERTA publiera prochainement une note d'information à ce sujet.