S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 août 2008
N° CERTA-2008-ACT-035
Affaire suivie par: CERT-FR
le 29 août 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-35

Gestion du document

Référence CERTA-2008-ACT-035
Titre Bulletin d’actualité 2008-35
Date de la première version 29 août 2008
Date de la dernière version 29 août 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Des mots de passe trop faibles

Cette semaine le CERTA a traité un incident relatif à la compromission de plus de 300 machines en France. Le CERTA a été informé par le CERT-Renater de la présence sur l’Internet d’un fichier recensant les identifiants de connexion SSH de plus de 5000 machines dans le monde. Le CERTA a rapidement informé les victimes potentielles et les hébergeurs de ces machines. Dans la cadre de la coopération internationale, le CERTA a informé ses homologues de l’existence de cette liste.

Les identifiants de connexion, présents dans cette liste, semblaient être le résultat d’attaque par dictionnaire révélant des mots de passe triviaux comme :

  • un mot d’un dictionnaire ;
  • un mot de passe inférieur à 8 caractères ;
  • un mot de passe identique au compte ;
  • des chiffres ajoutés avant ou après un mot du dictionnaire.

Le CERTA rappelle qu’un bon mot de passe (dit fort) doit être difficile à deviner, même à l’aide d’outils automatisés, mais facile à retenir pour l’utilisateur. La note d’information du CERTA sur les mots de passe pourra aiguiller le lecteur dans ses choix.

Certains comptes compromis révèlent également un défaut de paramétrage du serveur :

  • présence d’un service SSH inutile ;
  • autorisation de se connecter avec un utilisateur ayant des droits d’administration ;
  • comptes de services autorisés à se connecter par SSH.

Le CERTA rappelle également que les services permettant l’accès distant doivent être arrêtés, quand ils ne sont pas utiles, ou limités aux machines et comptes autorisés.

De plus, dans l’actualité de cette semaine, le CERTA a été informé que des individus malveillants se servaient d’identifiants SSH compromis pour élever leurs privilèges sur les machines et installer des boites à outils malveillantes (rootkits). Il est donc important, suite à une compromission, d’analyser et de surveiller le comportement du serveur.

1.1 Documentation

2 Des paquets (RPM) de Red Hat SSH compromis

Vendredi 22 août 2008, la société Red Hat a publié un bulletin de sécurité faisant état de deux problèmes :

  • la correction d’une vulnérabilité ancienne, CVE-2007-4752 ;
  • la falsification de paquets après une intrusion en août 2008, CVE-2008-3844.

La falsification a consisté en l’ajout d’un cheval de Troie dans certains paquets SSH. La société estime que les mesures prises pour le canal officiel de distribution des paquets, Red Hat Network, sont suffisantes pour contrer la distribution des paquets illégalement modifiés. Elle alerte donc les utilisateurs qui se procurent les paquets par des moyens alternatifs. Red Hat fournit un script en langage de commande (shell) pour déceler la présence de paquets falsifiés sur un ordinateur.

Sans douter de l’honnêteté de la société Red Hat, il convient de se rappeler de la difficulté de cerner une intrusion, y compris pour une société de cette nature. Par conséquent, il est prudent de surveiller le trafic des ordinateurs utilisant les systèmes d’exploitation Red Hat.

La portée de l’intrusion peut également être difficile à estimer sur un système victime de la fraude. Ainsi, le script de détection de paquets contrefaits ne devrait pas être exécuté sur un ordinateur suspect. Il devrait être exécuté à partir d’un système sain (liveCD ou machine autre ayant le disque de l’ordinateur suspect en périphérique)

Le CERTA recommande de récupérer les logiciels auprès des éditeurs ou des mirroirs et distributeurs officiels. La société Red Hat met en garde contre l’acquisition de RPM SSH par des canaux autres que son réseau.

2.1 Documentation

3 Mise à jour de MS08-051

Dans son lot de mises à jour du mois d’août 2008, Microsoft a corrigé trois vulnérabilités présentes dans différentes versions de son logiciel PowerPoint et permettant l’exécution de code arbitraire à distance. Comme d’habitude, les mises à jour étaient disponibles automatiquement via Microsoft Update et Office Update, et manuellement via le centre de téléchargement. L’éditeur a cependant indiqué la semaine dernière que les fichiers mis à disposition sur le centre de téléchargement étaient des mauvaises versions. Selon Microsoft, les fichiers proposés corrigeaient tout de même les vulnérabilités décrites dans le bulletin, mais ne contenaient pas d’autres mises à jour de fiabilité et de sécurité importantes.

Ainsi, toutes les personnes ayant effectué la mise à jour via le centre de téléchargement sont invitées à télécharger la nouvelle mise à jour notée « version 2. » Les utilisateurs qui ont installé le correctif pour MS08-051 via Microsoft Update ou Office Update n’ont pas besoin de le réinstaller.

3.1 Documentation

4 Gestion externalisée des marque-pages

À l’instar de certains services qui permettent de partager des fichiers entre une machine professionnelle et une machine « à domicile » (voir Foldershare dans le bulletin d’actualité CERTA-2007-ACT-015), il existe des services disponibles sur l’Internet qui facilitent la gestion des marque-pages. Le principe est le même : il s’agit de transmettre à un tiers « de confiance » un ensemble de pointeurs vers vos sites préférés.

La transmission de vos signets à un tiers peut servir à réaliser des statistiques. Néanmoins, il s’agit d’une fuite d’informations qui peut avoir des conséquences, notamment en termes de sécurité :

  • des liens internes professionnels peuvent être indexés. Confier à un tiers de tels marque-pages peut donner des renseignements sur l’architecture interne du réseau ;
  • certains signets sont suffisamment explicites pour dévoiler des centres d’intérêt de l’utilisateur ou de son entreprise/organisme ;
  • les signets d’un utilisateur peuvent être exploités dans le cadre d’une attaque ciblée. En effet, un attaquant peut chercher à insérer un code malveillant (via une injection SQL par exemple) dans une des pages indexées dans votre navigateur.

Avant de faire appel à un tel service, il est important de vérifier que celui-ci est conforme à votre politique de sécurité et d’être sensibilisé aux risques qui en découlent.

4.1 Documentation

Rappel des avis émis

Dans la période du 18 au 24 août 2008, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 29 août 2008
    version initiale.