1 Activités en cours
1.1 Problème lié à l’hébergement mutualisé
Le CERTA a traité deux incidents concernant des cas de défigurations. Dans la première d’entre elles, il s’agissait d’un simple fichier index.html modifié ou écrasé qui empêchait une redirection vers le bon site. Après lecture des journaux du système affecté, il a été impossible de déterminer la nature de l’attaque. Dans la seconde compromission, l’auteur de la défiguration a utilisé une vulnérabilité de type « inclusion php » présente dans un gestionnaire de contenu Joomla! vulnérable. Dans ce cas, il a été possible d’identifier le type d’attaque en exploitant les journaux du système. Or, après analyse, ces deux incidents n’en faisaient qu’un. En effet, les deux sites se trouvaient sur la même machine en hébergement mutualisé. Le CERTA a donc pu déterminer que le point d’entrée sur la machine fut le site Joomla! vulnérable, depuis lequel le pirate s’attaqua aux autres sites présents sur la machine. On parle dans ce cas d’une défiguration en masse.Recommandations:
Le CERTA vous recommande de vous reporter à la note d’information CERTA-2005-INF-005 concernant l’hébergement mutualisé et les risques inhérents à ce type de solutions.1.2 Règle de filtrage pour les serveurs
Il est d’usage que les pare-feux laissent passer les connexions HTTP (port 80) sortantes sans restriction et qu’un proxy soit chargé de limiter ces connexions à certaines adresses réticulaires (URL). Ce filtrage est souvent appliqué aux connexions issues des postes de travail. Il doit l’être également aux serveurs, même en zone publique (DMZ). Lors du traitement récent d’un incident, le CERTA a constaté qu’un serveur en zone publique s’est trouvé compromis. Le manque de filtrage des connexions vers l’Internet initiées par ce serveur a permis l’utilisation frauduleuse du serveur pour participer à un déni de service.Recommandations:
Le CERTA recommande la mise en oeuvre d’un politique contrôlant les « rebonds ». Dans ce cadre, il convient :
- d’appliquer un filtrage pour les connexions des serveurs vers l’Internet, même sur les protocoles classiquement autorisés (HTTP, FTP, SMTP) ;
- de mettre en place un filtrage adapté à ces serveurs.
1.3 La configuration des services de messagerie
Cette semaine le CERTA a reçu des appels concernant des incidents de messagerie. En effet durant les périodes de congés il est fréquent de constater que des utilisateurs mettent en place des réponses automatiques voir des redirections de courrier de leur messagerie professionnelle vers leur messagerie personnelle. Mal configurées, ces fonctionnalités peuvent devenir la source d’importante nuisances, comme par exemple des courriels qui transitent en boucle infinie entre la messagerie de l’utilisateur et une liste de diffusion, des réponses automatiques qui remplissent une boîte aux lettres électronique ou encore la sortie d’information confidentielle relayée vers une boîte aux lettres externe.Recommandations:
Il est préférable d’éviter de paramétrer un message d’absence ou une réponse automatique pour les courriels venant de l’extérieur et d’interdire la redirection de messages vers des boîtes aux lettres externes ou personnelles.1.4 Vulnérabilités dans Firefox
Ces derniers jours, plusieurs vulnérabilités ont été publiées sur l’Internet ou dans des listes de diffusion touchant principalement le navigateur Firefox. Internet Explorer 7 pourrait être concerné également par certaines d’entre elles. Pour le moment, le CERTA n’a pas publié sur le sujet autrement que par le biais de ce bulletin, car l’exploitation de ces vulnérabilités ne peut conduire à une compromission sérieuse de l’intégrité d’un système. Tout au plus, l’exploitation de ces vulnérabilités pourrait être intégrée dans un processus d’attaque (comme du phishing, par exemple), ce qui reste néanmoins hypothétique. Certaines de ces vulnérabilités sont examinées en ce moment par les éditeurs afin de les qualifier, dans un premier temps, puis d’apporter d’eventuels correctifs.Recommandations:
Le CERTA recommande de naviguer sur l’Internet avec la plus grande prudence, en ne consultant dans la mesure du possible que des sites de confiance, et en n’autorisant l’activation du contenu dynamique (ActiveX, Javascript, Java) qu’en cas d’extrême nécessité.
Rappel des avis émis
Dans la période du 12 au 18 février 2007, le CERT-FR a émis les publications suivantes :
- CERTA-2007-ALE-005-002 : Vulnérabilité de Sun Solaris
- CERTA-2007-ALE-006-001 : Vulnérabilité dans le logiciel Microsoft Word
- CERTA-2007-AVI-079 : Vulnérabilité du service Microsoft de détection matériel noyau
- CERTA-2007-AVI-080 : Vulnérabilité de l’Acquisition d’Image Windows (WIA)
- CERTA-2007-AVI-081 : Vulnérabilité du moteur de protection mpengine.dll de Microsoft Windows
- CERTA-2007-AVI-082-001 : Vulnérabilités de Microsoft concernant un objet OLE associé à un fichier RTF
- CERTA-2007-AVI-083 : Multiples vulnérabilités de Microsoft Office
- CERTA-2007-AVI-084 : Multiples vulnérabilités du navigateur Internet Explorer de Microsoft
- CERTA-2007-AVI-085 : Vulnérabilités dans des composants ActiveX de Microsoft Windows
- CERTA-2007-AVI-086 : Vulnérabilités dans ColdFusion
- CERTA-2007-AVI-087 : Vulnérabilité dans la mise en oeuvre du protocole TCP sous Sun Solaris
- CERTA-2007-AVI-088 : Vulnérabilité de HP-UX SLS
- CERTA-2007-AVI-089 : Multiples vulnérabilités du module IPS de Cisco IOS
- CERTA-2007-AVI-090-001 : Multiples vulnérabilités de produits Cisco
- CERTA-2007-AVI-091 : Multiples vulnérabilités dans Apple iChat
- CERTA-2007-AVI-092 : Vulnérabilité dans Apple UserNotification
- CERTA-2007-AVI-093-002 : Multiples vulnérabilités dans ClamAV
- CERTA-2007-AVI-094-001 : Vulnérabilité dans SpamAssassin
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2006-ALE-013-002 : Vulnérabilité de MacOS X
- CERTA-2006-ALE-014-006 : Vulnérabilités dans Microsoft Word
- CERTA-2007-ALE-004-005 : Vulnérabilité dans Microsoft Office
