Avis d'expert : semaine du 22 au 28 Août 2011

Un code d’exploitation permettant de provoquer un déni de service des serveurs web Apache a été publié. Cette vulnérabilité pourrait prochainement être exploitée par des pirates.

Le CERT-XMCO recommande la mise en place d’une solution de contournement afin de protéger les serveurs.

Résumé des évènements majeurs

Vulnérabilités :

Plusieurs vulnérabilités ont été découvertes au cours de la semaine. Parmi les logiciels concernés, le serveur HTTPd de la Fondation Apache, ainsi que Skype. Dans un message intitulé « Apache Killer » un pirate a publié sur une liste de diffusion une preuve de concept permettant de provoquer un déni de service distant temporaire. En effet, l’impact de cette attaque prend automatiquement fin dès l’arrêt de celle-ci, sans qu’aucune manipulation ne soit nécessaire pour remettre le serveur en état de fonctionner. Cette faille serait connue de longue date. En effet, le chercheur Michal Zalewski avait déjà publié une alerte au sujet de la gestion des « byte-ranges » en 2007, sans prise en compte de la part des développeurs.

Correctifs :

Cisco a publié 4 bulletins de sécurité pour les logiciels suivants : l’IOS, Cisco Intercompany Media Engine, Cisco Unified Communications Manager et enfin Cisco Unified Communications Manager et Cisco Unified Presence Server.

De nombreux autres correctifs ont été publiés cette semaine pour les logiciels suivants : SAP NetWeaver, Skype, Google Chrome, IBM Tivoli, IBM Rational, WebSphere, Citric Access Gateway, PhpMyAdmin, HP-UX, RSA enVision et plusieurs produits F-Secure.

Les développeurs du moteur PHP ont, de leur côté, publié la version 5.3.8 de PHP pour corriger des erreurs introduites dans la précédente version.

Exploit :

Un code d’exploitation permettant de provoquer un déni de service sur un serveur web Apache a été publié.

Un autre code d’exploitation permettant de prendre le contrôle d’un système à distance via une faille de sécurité au sein du contrôle ActiveX HP Easy Printer Care a fait son apparition sur la toile. En incitant un internaute à visiter une page Internet spécialement conçue, un attaquant pouvait ainsi prendre le contrôle du système.

Enfin, une dernière preuve de concept a été publiée. Celle-ci permet d’exploiter une faille de sécurité au sein de Photoshop CS5 afin de prendre le contrôle d’un système.

Conférence / Recherche :

ICE IX serait l’un des premiers outils disponibles pour les cybercriminels publiés après la mise à disposition du code source de Zeus. Celui-ci permettrait entre autres de gérer de façon centraliser plusieurs botnets Zeus.

Cybercriminalité / Attaques :

WordPress a été obligé de forcer la remise à zéro des mots de passe de certains de ses utilisateurs après avoir découvert une erreur de configuration dans ses serveurs. Certains d’entre eux étaient configurés de telle sorte que les mots de passe de certains internautes étaient enregistrés dans les fichiers de log lors de certaines opérations.

Wikileaks, l’association à l’origine des nombreuses fuites d’informations a reconnu avoir « perdu » les documents confidentiels relatifs à la Bank Of America. À la suite d’un différend, un ex-membre du mouvement a quitté l’association avec la seule copie existante de ces données, et a tenté d’obtenir une rançon.

PrestaShop a été victime d’une attaque qui a permis aux pirates de compromettre la sécurité des installations du logiciel sur les sites des clients. L’éditeur de la solution a posté un message sur son blog afin d’aider les administrateurs des sites de vente en ligne à savoir s’ils sont concernés, et le cas échéant, la procédure à suivre pour remettre en état le site.

En même temps que le régime s’effondrait, un pirate s’est attaqué au site du registre des noms de domaines libyen. Il n’a cependant pas été en mesure d’accéder ou de modifier les données sensibles.

En travaillant sur l’identité de sa nouvelle entreprise, un entrepreneur a découvert un nouveau type d’attaque : après avoir squatté pendant de longues années les noms de domaines, les pirates s’intéressent maintenant à Twitter et réservent auprès du service le nom des comptes correspondants à de nouveaux noms de domaines déposés auprès des registres…

GingerMaster, un nouveau malware ciblant la plateforme Android vient de faire son apparition. Celui-ci serait l’un des plus dangereux : en effet, il exploiterait la faille de sécurité exploiter pour « jailbreaker » le système, lui permettant par ce biais d’obtenir les privilèges les plus élevés sur le système.

Un photographe a pu récupérer le matériel qui lui avait été volé en utilisant un moteur de recherche spécialisé dans le traitement des métadonnées contenues dans les photos publiées sur Internet. En recherchant le numéro de série dans les photos publiées, il a été en mesure de retrouver celles prises avec son appareil, et ainsi remonter jusqu’à un profil Facebook. La police est ensuite intervenue pour régler le problème…

Internationnal :

Le gouvernement chinois est souvent accusé sans preuve tangible… Mais dans le cadre d’un documentaire sur la cyberguerre, une chaine de télévision nationale chinoise à publié des images montrant clairement un analyste utiliser un logiciel d’attaque contre des cibles américaines…

Une arrestation a eu lieu dans le cadre de l’attaque de la bourse de Hong Kong.

Entreprises :

Oracle a publié l’Update 27 de Java 6. Cette nouvelle version n’apporte cependant aucun correctif de sécurité.

PHP a publié en début de semaine une version de son moteur comportant des régressions fonctionnelles. La Fondation a donc publié en urgence une nouvelle version ne corrigeant que ces régressions.

L’entreprise HBGary, qui avait été l’une des premières victimes des Anonymous semble ne plus pouvoir être considérée comme une victime. D’après les dirigeants de la société, le chiffre d’affaires est en effet en très forte augmentation…

Afin de simplifier la gestion des versions de ses logiciels en entreprise, Mozilla souhaiterait remplacer le numéro de version par la date de dernières mises à jour. En effet, l’adoption par les développeurs d’un nouveau calendrier de publication avait été contestée par un bon nombre d’entreprises…

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Adrien Guinault

Découvrir d'autres articles