CERT-XMCO : Avis d’expert, semaine du 26 décembre au 8 janvier
janvier 2012 par CERT-XMCO
- Date : 13 Janvier 2012
- Gravité : Moyenne
- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
À la suite de la divulgation d’un code d’exploitation ciblant la faille de sécurité affectant le serveur Telnetd [1], le CERT-XMCO recommande d’utiliser uniquement le protocole SSH pour l’administration à distance. L’exploitation de la faille permet en effet de prendre le contrôle d’un système à distance.
Dans le même temps, des chercheurs ont publié un code d’exploitation [2] au sein du framework Metasploit permettant de prendre le contrôle d’un système lors de l’ouverture, avec Adobe Reader, d’un fichier PDF malveillant exploitant la faille référencée CVE-2011-2462. Le CERT-XMCO recommande l’application des correctifs APSB11-30 et APSB12-01 récemment publiés par Adobe.
* Résumé des évènements majeurs :
- Vulnérabilités :
De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le serveur Telnetd [1] proposé par le projet FreeBSD, Kerberos [4], Oracle Glassfish Server [5] et enfin le noyau Linux [6].
Il est important de noter que la faille découverte au sein de Telnet affecte probablement la grande majorité des implémentations, puisque des traces de la faille auraient été découvertes dans du code vieux de plus de 20 ans... Le CERT-XMCO recommande de ne plus utiliser Telnet, et de le remplacer par SSH.
- Correctifs :
Plusieurs correctifs ont aussi été publiés. Ceux-ci concernent le framework .Net [7] (MS11-100), ainsi que les logiciels suivants : HP Database Archiving [8], Google Chrome [9], OpenSSL [10], Apache Struts 2 [11], Wordpress [12], BugZilla [13], Oracle iPlanet Manager [14], Ruby [15], PHP [16], Tomcat [17], Dotclear [18] ou encore F5 Enterprise Manager [19].
- Exploits :
Plusieurs codes d’exploitation ont été publiés. Parmi les logiciels vulnérables ciblés, on peut noter le serveur Telnetd [1], Oracle Database Server [20] ou encore Adobe Reader [21]. L’exploitation de ces différentes failles de sécurité permet de prendre le contrôle complet d’un système.
- Conférence / Recherche :
Kaspersky revient encore sur le sujet Duqu [22] pour présenter les nouvelles découvertes de ses analystes. Entre autres, les deux cyber-armes de pointe auraient été développées à partir d’une plateforme de développement unique baptisée "Tilded", à cause du penchant pour les auteurs de nommer nombre de fichiers déposés sur les postes compromis en débutant par les deux caractères " D". Mais cette plateforme serait toujours d’actualité, puisqu’au moins 3 autres codes d’exploitation non liés aux précédents auraient aussi été développés à partir de celle-ci.
Selon Microsoft [23], le nombre d’infections relevé décroit avec chaque nouvelle version de son système d’exploitation.
Dans le cadre de la conférence internationale du Chaos Computer Club qui se tenait entre les fêtes de fin d’année, le chercheur Karsten Nohl [24], dont la réputation dans le monde de la sécurité n’est plus à faire, a fait part d’une découverte importante : une faille pouvant être exploitée au sein des réseaux GSM (2G) pour forcer un utilisateur à appeler certains numéros surtaxés, ou encore pour intercepter leurs appels ou retracer leurs mouvements.
Un chercheur indien aurait découvert une faiblesse dans l’utilisation de clefs GPG/PGP [25]. Celles-ci sont en effet identifiées par une valeur trop courte pouvant être aisément « bruteforcées ». Résultat, il est possible de tromper un utilisateur en générant une clef possédant le même identifiant qu’une autre personne de confiance, afin d’usurper son identité auprès de la victime lorsque celle-ci téléchargera sa clef depuis un annuaire PGP sur Internet.
En publiant son bulletin KB2659883 [26] relatif à ASP.Net, Microsoft a révélé l’existence d’une faille de sécurité liée à l’attaque "Hash collision" impactant de nombreuses implémentations telles que PHP, Ruby, Java, ou encore Python.
Stefan Viehbock, un chercheur néerlandais en sécurité informatique, a publié à la fin du mois de décembre une preuve de concept permettant de contourner la fonction des routeurs WiFi baptisée WPS [27] (Wi-Fi Protected Setup). D’après le chercheur, il suffirait d’environ deux heures en moyenne pour accéder à un réseau WiFi protégé par WPA offrant la fonction WPS.
- Cybercriminalité / Attaques :
Symantec [28] a confirmé une rumeur selon laquelle des pirates auraient réussi à accéder au code source de certains de ses logiciels. Cependant, l’éditeur reste confiant pour la sécurité de ses clients. Entre autres, les logiciels affectés ne seraient actuellement plus supportés.
Le collectif Anonymous s’est attaqué la veille de Noël au cabinet américain Stratfor [29] spécialisé dans le renseignement. D’après les Anonymous, les données personnelles et bancaires de plus de 90 000 clients auraient été volées. Comme souvent, les analyses à postériori des mots de passe démontrent le peu de sérieux des utilisateurs lors du choix de leur mot de passe. Malheureusement, nombre de clients du cabinet sont des clients au profil "sensible" tels que des ministères américains...
- Entreprise :
Dans le cadre de son "Patch Tuesday" [30] du mois de janvier, Microsoft a publié 7 bulletins de sécurité le mardi 10 janvier 2012.
- Internationnal :
Le site [31] d’un député à l’origine de la loi réprimant la négation des génocides a été pris pour cible par des pirates probablement turcs.
Selon le quotidien japonais "Yomiuri Shimbun", le Japon [32], au travers d’un programme s’étalant sur 3 ans, serait actuellement en train de développer un virus capable de traquer la source d’une attaque, et de la neutraliser.
- Juridique :
En publiant au Journal Officiel du 1er janvier 2012 le décret n°2011-2122 [33] du 30 décembre 2011, la France vient de légaliser la "censure" via le service de résolution de nom de domaine (DNS). Ce décret, dont l’objectif premier est lié à la mission de l’ARJEL (l’Autorité de régulation des jeux en ligne), est relatif aux modalités d’arrêt de l’accès à une activité d’offre de paris ou de jeux d’argent et de hasard en ligne non autorisés. Le texte institue donc le blocage des sites Internet à la discrétion d’une seule et même autorité, l’ARJEL. Cependant, comme cela a été rappelé par de nombreux professionnels d’Internet, il est relativement aisé pour un internaute d’utiliser un serveur de nom alternatif à celui de son FAI, tel que celui de Google ou d’OpenDNS, rendant ainsi le blocage ordonné par l’ARJEL complètement inefficace...
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
- Références :
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2243
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0008
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2242
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2011-008.txt
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2253
http://www.nruns.com/_downloads/advisory28122011.pdf
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0020
http://thread.gmane.org/gmane.comp.emulators.kvm.devel/82043
[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2261
http://technet.microsoft.com/en-us/security/bulletin/ms11-100
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2245
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03128302
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0013
http://googlechromereleases.blogspot.com/2012/01/stable-channel-update.html
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0011
http://openssl.org/news/secadv_20120104.txt
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0009
http://struts.apache.org/2.x/docs/s2-008.html
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0004
http://wordpress.org/news/2012/01/wordpress-3-3-1/
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0001
http://www.bugzilla.org/security/3.4.12/
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2257
http://blogs.oracle.com/sunsecurity/entry/cve_2011_3389_chosen_plaintext
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2255
http://www.ocert.org/advisories/ocert-2011-003.html
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2254
http://www.ocert.org/advisories/ocert-2011-003.html
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2252
http://www.ocert.org/advisories/ocert-2011-003.html
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2251
http://fr.dotclear.org/blog/post/2011/12/24/Dotclear-2.4.1.2
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2246
http://support.f5.com/kb/en-us/products/em/releasenotes/product/relnote-em-2-3-0.html
[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0002
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0008
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0012
https://www.securelist.com/en/blog/208193304/The_Mystery_of_Duqu_Part_Seven_Back_to_Stuxnet
[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2247
http://www.microsoft.com/security/sir/keyfindings/default.aspx#!section_4_2
[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2248
[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2240
http://www.asheesh.org/note/debian/short-key-ids-are-bad-news.html
[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2244
http://technet.microsoft.com/en-us/security/advisory/2659883
[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0006
http://www.silicon.fr/un-outil-permet-dexploiter-la-faille-wps-des-bornes-dacces-wifi-70060.html
[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0019
[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2237
[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0014
http://technet.microsoft.com/en-us/security/bulletin/ms12-jan
[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2236
[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0003
http://www.japantoday.com/category/crime/view/japan-reportedly-developing-cyber-weapon
[33]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0007
- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]
- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0061