Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert, semaine du 26 décembre au 8 janvier

janvier 2012 par CERT-XMCO

- Date : 13 Janvier 2012

- Gravité : Moyenne

- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

À la suite de la divulgation d’un code d’exploitation ciblant la faille de sécurité affectant le serveur Telnetd [1], le CERT-XMCO recommande d’utiliser uniquement le protocole SSH pour l’administration à distance. L’exploitation de la faille permet en effet de prendre le contrôle d’un système à distance.

Dans le même temps, des chercheurs ont publié un code d’exploitation [2] au sein du framework Metasploit permettant de prendre le contrôle d’un système lors de l’ouverture, avec Adobe Reader, d’un fichier PDF malveillant exploitant la faille référencée CVE-2011-2462. Le CERT-XMCO recommande l’application des correctifs APSB11-30 et APSB12-01 récemment publiés par Adobe.

* Résumé des évènements majeurs :

- Vulnérabilités :
De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent le serveur Telnetd [1] proposé par le projet FreeBSD, Kerberos [4], Oracle Glassfish Server [5] et enfin le noyau Linux [6].

Il est important de noter que la faille découverte au sein de Telnet affecte probablement la grande majorité des implémentations, puisque des traces de la faille auraient été découvertes dans du code vieux de plus de 20 ans... Le CERT-XMCO recommande de ne plus utiliser Telnet, et de le remplacer par SSH.

- Correctifs :
Plusieurs correctifs ont aussi été publiés. Ceux-ci concernent le framework .Net [7] (MS11-100), ainsi que les logiciels suivants : HP Database Archiving [8], Google Chrome [9], OpenSSL [10], Apache Struts 2 [11], Wordpress [12], BugZilla [13], Oracle iPlanet Manager [14], Ruby [15], PHP [16], Tomcat [17], Dotclear [18] ou encore F5 Enterprise Manager [19].

- Exploits :
Plusieurs codes d’exploitation ont été publiés. Parmi les logiciels vulnérables ciblés, on peut noter le serveur Telnetd [1], Oracle Database Server [20] ou encore Adobe Reader [21]. L’exploitation de ces différentes failles de sécurité permet de prendre le contrôle complet d’un système.

- Conférence / Recherche :
Kaspersky revient encore sur le sujet Duqu [22] pour présenter les nouvelles découvertes de ses analystes. Entre autres, les deux cyber-armes de pointe auraient été développées à partir d’une plateforme de développement unique baptisée "Tilded", à cause du penchant pour les auteurs de nommer nombre de fichiers déposés sur les postes compromis en débutant par les deux caractères " D". Mais cette plateforme serait toujours d’actualité, puisqu’au moins 3 autres codes d’exploitation non liés aux précédents auraient aussi été développés à partir de celle-ci.

Selon Microsoft [23], le nombre d’infections relevé décroit avec chaque nouvelle version de son système d’exploitation.

Dans le cadre de la conférence internationale du Chaos Computer Club qui se tenait entre les fêtes de fin d’année, le chercheur Karsten Nohl [24], dont la réputation dans le monde de la sécurité n’est plus à faire, a fait part d’une découverte importante : une faille pouvant être exploitée au sein des réseaux GSM (2G) pour forcer un utilisateur à appeler certains numéros surtaxés, ou encore pour intercepter leurs appels ou retracer leurs mouvements.

Un chercheur indien aurait découvert une faiblesse dans l’utilisation de clefs GPG/PGP [25]. Celles-ci sont en effet identifiées par une valeur trop courte pouvant être aisément « bruteforcées ». Résultat, il est possible de tromper un utilisateur en générant une clef possédant le même identifiant qu’une autre personne de confiance, afin d’usurper son identité auprès de la victime lorsque celle-ci téléchargera sa clef depuis un annuaire PGP sur Internet.

En publiant son bulletin KB2659883 [26] relatif à ASP.Net, Microsoft a révélé l’existence d’une faille de sécurité liée à l’attaque "Hash collision" impactant de nombreuses implémentations telles que PHP, Ruby, Java, ou encore Python.

Stefan Viehbock, un chercheur néerlandais en sécurité informatique, a publié à la fin du mois de décembre une preuve de concept permettant de contourner la fonction des routeurs WiFi baptisée WPS [27] (Wi-Fi Protected Setup). D’après le chercheur, il suffirait d’environ deux heures en moyenne pour accéder à un réseau WiFi protégé par WPA offrant la fonction WPS.

- Cybercriminalité / Attaques :
Symantec [28] a confirmé une rumeur selon laquelle des pirates auraient réussi à accéder au code source de certains de ses logiciels. Cependant, l’éditeur reste confiant pour la sécurité de ses clients. Entre autres, les logiciels affectés ne seraient actuellement plus supportés.

Le collectif Anonymous s’est attaqué la veille de Noël au cabinet américain Stratfor [29] spécialisé dans le renseignement. D’après les Anonymous, les données personnelles et bancaires de plus de 90 000 clients auraient été volées. Comme souvent, les analyses à postériori des mots de passe démontrent le peu de sérieux des utilisateurs lors du choix de leur mot de passe. Malheureusement, nombre de clients du cabinet sont des clients au profil "sensible" tels que des ministères américains...

- Entreprise :
Dans le cadre de son "Patch Tuesday" [30] du mois de janvier, Microsoft a publié 7 bulletins de sécurité le mardi 10 janvier 2012.

- Internationnal :
Le site [31] d’un député à l’origine de la loi réprimant la négation des génocides a été pris pour cible par des pirates probablement turcs.

Selon le quotidien japonais "Yomiuri Shimbun", le Japon [32], au travers d’un programme s’étalant sur 3 ans, serait actuellement en train de développer un virus capable de traquer la source d’une attaque, et de la neutraliser.

- Juridique :
En publiant au Journal Officiel du 1er janvier 2012 le décret n°2011-2122 [33] du 30 décembre 2011, la France vient de légaliser la "censure" via le service de résolution de nom de domaine (DNS). Ce décret, dont l’objectif premier est lié à la mission de l’ARJEL (l’Autorité de régulation des jeux en ligne), est relatif aux modalités d’arrêt de l’accès à une activité d’offre de paris ou de jeux d’argent et de hasard en ligne non autorisés. Le texte institue donc le blocage des sites Internet à la discrétion d’une seule et même autorité, l’ARJEL. Cependant, comme cela a été rappelé par de nombreux professionnels d’Internet, il est relativement aisé pour un internaute d’utiliser un serveur de nom alternatif à celui de son FAI, tel que celui de Google ou d’OpenDNS, rendant ainsi le blocage ordonné par l’ARJEL complètement inefficace...

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

- Références :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2243

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/5d67bd2a5e368fc2000f5e966fcbd4503539d26a/entry/modules/exploits/freebsd/telnet/telnet_encrypt_keyid.rb

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0008

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/8cced0a91e8a496c44704acebfc8685905fdec40/entry/modules/exploits/windows/fileformat/adobe_reader_u3d.rb

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2242

http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2011-008.txt

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2253

http://www.nruns.com/_downloads/advisory28122011.pdf

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0020

http://thread.gmane.org/gmane.comp.emulators.kvm.devel/82043

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2261

http://technet.microsoft.com/en-us/security/bulletin/ms11-100

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2245

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03128302

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0013

http://googlechromereleases.blogspot.com/2012/01/stable-channel-update.html

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0011

http://openssl.org/news/secadv_20120104.txt

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0009

http://struts.apache.org/2.x/docs/s2-008.html

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0004

http://wordpress.org/news/2012/01/wordpress-3-3-1/

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0001

http://www.bugzilla.org/security/3.4.12/

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2257

http://blogs.oracle.com/sunsecurity/entry/cve_2011_3389_chosen_plaintext

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2255

http://www.ocert.org/advisories/ocert-2011-003.html

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2254

http://www.ocert.org/advisories/ocert-2011-003.html

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2252

http://www.ocert.org/advisories/ocert-2011-003.html

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2251

http://fr.dotclear.org/blog/post/2011/12/24/Dotclear-2.4.1.2

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2246

http://support.f5.com/kb/en-us/products/em/releasenotes/product/relnote-em-2-3-0.html

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0002

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/a5189917daa1ad898dbb5cbfc515b364ec92a280/entry/modules/auxiliary/sqli/oracle/dbms_cdc_subscribe_activate_subscription.rb

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0008

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/8cced0a91e8a496c44704acebfc8685905fdec40/entry/modules/exploits/windows/fileformat/adobe_reader_u3d.rb

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0012

https://www.securelist.com/en/blog/208193304/The_Mystery_of_Duqu_Part_Seven_Back_to_Stuxnet

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2247

http://www.microsoft.com/security/sir/keyfindings/default.aspx#!section_4_2

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2248

http://www.businessmobile.fr/actualites/securite-les-reseaux-gsm-sont-des-passoires-affirme-un-chercheur-39766878.htm

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2240

http://www.asheesh.org/note/debian/short-key-ids-are-bad-news.html

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2244

http://technet.microsoft.com/en-us/security/advisory/2659883

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0006

http://www.silicon.fr/un-outil-permet-dexploiter-la-faille-wps-des-bornes-dacces-wifi-70060.html

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0019

http://www.securityweek.com/symantec-confirms-hackers-accessed-source-code-two-enterprise-security-products

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2237

http://www.lefigaro.fr/hightech/2011/12/26/01007-20111226ARTFIG00188-pour-noel-anonymous-piege-un-cabinet-de-renseignement.php

[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0014

http://technet.microsoft.com/en-us/security/bulletin/ms12-jan

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-2236

http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-466920-genocide-armenien-site-valerie-boyer-pirate-turquie.html

[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0003

http://www.japantoday.com/category/crime/view/japan-reportedly-developing-cyber-weapon

[33]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0007

http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000025062583&fastPos=1&fastReqId=1801775252&categorieLien=id&oldAction=rechTexte

- Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]

- Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0061


Voir les articles précédents

    

Voir les articles suivants