S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 juillet 2011
N° CERTA-2011-ACT-027
Affaire suivie par: CERT-FR
le 08 juillet 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-27

Gestion du document

Référence CERTA-2011-ACT-027
Titre Bulletin d’actualité 2011-27
Date de la première version 08 juillet 2011
Date de la dernière version 08 juillet 2011
Source(s) -
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Alerte du CERTA concernant des vulnérabilités dans Apple iOS

Cette semaine, le CERTA a émis une alerte car deux vulnérabilités dans Apple iOS ont été publiées et sont actuellement exploitées.

Utilisées pour débloquer (jailbreaker) les iPhones, iPads ou iPods, elles peuvent cependant être également employées à des fins malveillantes. En effet, l’exploitation réussie de ces deux vulnérabilités permet d’exécuter du code arbitraire à distance avec des privilèges élevés, donnant ainsi à l’attaquant le contrôle total de l’appareil.

Les deux vulnérabilités sont similaires à celles découvertes en août 2010 (voir avis CERTA CERTA-2010-380) et peuvent être exploitées au moyen d’un document PDF spécialement conçu. Le CERTA recommande donc la plus grande prudence lors de la navigation et l’utilisation de liens sur des sites, courriels et MMS.

Le CERTA recommande de ne pas procéder au déblocage de son appareil, celui-ci brisant le modèle de sécurité mis en place. De même, l’installation d’applications dont l’origine est peu contrôlée n’est pas recommandée.

Enfin, une vigilance particulière doit être apportée par les responsables de la sécurité informatique quant à l’utilisation de ces appareils dans leur système d’information et à sensibiliser les utilisateurs à l’importance de ne pas traiter d’informations sensibles dessus. S’il s’agit d’appareils professsionnels, les limites d’utilisation doivent être établies.

Documentation

2 Compromission de vsftpd

Cette semaine, une compromission des sources du serveur vsftpd a été mise au jour. En effet, il est apparu que la version 2.3.4 du serveur FTP vsftpd disponible sur le serveur principal du projet comportait une porte dérobée. La compromission a pu être détectée simplement en vérifiant la signature GPG de l’archive contenant les sources. En effet la signature calculée à partir de l’archive .tar.gz ne correspondait pas au contenu du fichier .asc disponible sur le serveur du projet ou sur les autres miroirs.

Par ailleurs, la porte dérobée n’était pas réellement discrète et a donc pu être rapidement identifiée dans le code source.

Recommandations :

Dans l’hypothèse où vous auriez utilisé les sources de vsftpd version 2.3.4 récemment pour déployer un serveur FTP, il convient de calculer sans délais la signature de l’archive téléchargée et de la comparer avec la signature disponible sur le site de vsftpd afin de vous assurer que vous n’utilisez pas la version compromise.

De manière générale et quand cela est possible, il convient de vérifier la signature des logiciels téléchargés sur l’Internet. Ceci ne constitue pas une garantie absolue puisque les signatures ont pu, elles aussi, être altérées mais elles permettent au moins une première vérification.

3 Vulnérabilité dans Bind

Cette semaine, le CERTA a publié l’avis CERTA-2011-AVI-381 relatif à deux vulnérabilités présentes dans le serveur DNS Bind. Son éditeur ISC qualifie lui-même la première faille (CVE-2011-2464) de sérieuse et invite les utilisateurs du produit à le mettre à jour dans les plus brefs délais. En effet, cette vulnérabilité touche de nombreuses versions réparties dans les branches 9.6, 9.7 et 9.8 de Bind. Par ailleurs, un seul paquet suffit à un éventuel attaquant distant pour provoquer un arrêt inopiné du service named. Plusieurs distributions ou fournisseurs de systèmes d’exploitation, comme FreeBSD, Debian ou Ubuntu, ont déjà publié une version corrigeant le problème.

Recommandations :

Dans la mesure où le service de nommage DNS constitue un élément critique du système d’information ; si celui-ci s’appuie sur Bind, il conviendra de mettre à jour dès la publication du correctif pour votre plate-forme.

4 Filtrage Google sur des domaines malveillants

Depuis quelque temps, Google n’affiche plus, lors du résultat d’une recherche, des sites appartenant à certains sous-domaines, pour cause d’hébergement de codes malveillants. Le but est d’éviter que les internautes aillent sur un site malveillant après une recherche sur un sujet porteur (par exemple, la mort d’une personne, une catastrophe naturelle, etc.). Il y a quelques semaines, les sites du sous-domaine cz.cc ont ainsi été purgés des recherches. C’est désormais au tour de co.cc de faire l’objet d’un déréférencement de la part de Google.

Cette politique de filtrage n’a qu’une efficacité relative. Elle n’empêche pas les internautes de suivre des liens, et donc de se rendre malgré tout sur des sites malveillants. De plus, les attaquants changent les noms de domaine utilisés, ce qui ne fait que déplacer le problème. Enfin, elle est réellement pénalisante pour ceux possédant un site légitime dans ces sous-domaines.

La politique de filtrage mise en place par Google n’est pas clairement définie. Il pourrait donc être possible de provoquer un déréférencement du moteur de recherche Google en déployant un grand nombre de codes malveillants, après une intrusion par exemple.

Documentation :

Rappel des avis émis

Dans la période du 27 juin au 03 juillet 2011, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 08 juillet 2011
    version initiale.