1 Attaques ciblant phpMyVisites

L’application phpMyVisites a fait l’objet d’une très importante mise à jour de sécurité le 16 décembre 2009 (avis CERTA-2009-AVI-560). Ce correctif fait suite à l’exploitation d’une vulnérabilité d’un module tiers, appelé Clickheat, fourni avec phpMyVisites. La nouvelle version du logiciel n’intègre plus cette extension vulnérable.

De plus, les développeurs de phpMyVisites ont publié une page dédiée à des attaques constatées début décembre 2009. En particulier, un serveur compromis pourrait contenir les fichiers suivants :

  • phpmv2/datas/thumbs.php ;
  • styles.css.php ;
  • fotter.php ;
  • s.php ;
  • un fichier PHP ayant pour nom une série de chiffres, par exemple 8475875.php.

La compromission est susceptible de s’étendre à tout le serveur, pas uniquement au répertoire de phpMyVisites. Un des correspondants du CERTA a déjà signalé une telle compromission, survenue le 5 décembre 2009. L’intrus n’a pas défiguré le site Web, donc l’attaque ne laisse pas de traces évidentes (en dehors des journaux). Par contre, l’attaquant a déposé de nombreuses portes dérobées et a peut-être exploité des vulnérabilités du noyau pour élever ses privilèges et devenir administrateur du serveur.

Le CERTA recommande à tous les administrateurs de sites fonctionnant avec phpMyVisites de rechercher dans les journaux d’accès les appels au module Clickheat (par exemple à l’aide de la commande grep -i clickheat access.log). De tels accès, notamment à l’aide de requêtes POST, sont caractéristiques d’une compromission. Tout administrateur constatant une telle activité dans ses journaux est invité à contacter le CERTA.

2 Attaquer le serveur DNS plutôt que le site Web cible

Twitter, le célèbre site de microblogging (http://www.twitter.com) a subi une attaque le 18 décembre 2009. Dans la matinée de cette journée, la majorité des internautes qui tentaient de se connecter sur le site Web de Twitter arrivaient sur un site affichant une page de revendication anti-américaine, signée par « l’Iranian Cyberarmy ».

À la lumière des éléments publics de l’attaque, le site Web de Twitter n’a vraisemblablement subi aucune agression. Les pirates ont en fait visé le système DNS de Twitter. La société Twitter utilise une offre externalisée de DNS, qui a pour rôle de résoudre les requêtes. Ainsi, lorsqu’un internaute souhaite se connecter à Twitter, son navigateur Web va émettre une demande de résolution DNS, afin de transformer le nom www.twitter.com en adresse IP, par exemple 168.143.162.36. Les attaquants ont réussi, en se connectant à l’interface d’administration du DNS, à modifier cette résolution, pour la faire pointer vers le site de leur choix. La suite est connue…

Cet incident peut amener quelques réflexions.

Tout d’abord, commençons par la revendication du piratage. Même si la page visible des internautes contenait des propos anti-américains, reprochant notamment l’ingérence des États-Unis envers l’Iran, aucun élément ne permet à l’heure actuelle d’identifier avec certitude les auteurs de l’attaque. Les conclusions rapides sont donc à éviter dans ce genre d’affaire, d’autant plus que le fameux groupe « Iranian Cyberarmy » ne bénéficie d’aucun historique dans les sources d’informations ouvertes…

D’autre part, cet incident n’est en soit pas nouveau, d’autres sites ont subi les mêmes types d’attaques dans le passé. L’élément intéressant ici est de bien identifier la chaine globale de confiance. Assurer la sécurité et la disponibilité d’un site Web est une tâche souvent bien plus complexe qu’il n’apparait à première vue, car de nombreux éléments doivent être pris en compte… Depuis les routeurs d’accès, les équipements de partage de charge, le réseau d’administration, les serveurs de middleware et bases de données, sans oublier les serveurs DNS et le maintien des noms de domaine, tous les maillons de la chaine ont leurs importances, et il suffit parfois d’un simple grain de sable mal placé pour que tout s’effondre.

3 Cadeaux de fin d’année malveillants

La période des fêtes de fin d’année est toujours propice à la propagation de codes malveillants. Il est en effet dans la tradition de s’échanger de nombreux cadeaux et autres cartes de vœux. Ces dernières, développement durable oblige, ont maintenant pris un format électronique et permettent à certains individus malintentionnés de profiter de la situation.

Il existe, en effet, de nombreux sites permettant la création et l’envoi de cartes de vœux virtuelles. Certains sites peuvent avoir de nombreuses façons de détourner la gentille attention en cadeau empoisonné, outre la collecte d’informations personnelles comme l’adresse électronique. Il est également envisageable d’intégrer dans la carte de vœux des JavaScript et autres codes dynamiques (comme Flash par exemple) afin d’exploiter des vulnérabilités dans les interpréteurs et ainsi compromettre la machine du destinataire.

En cette fin d’année, nombreuses sont les personnes qui commandent leurs cadeaux via l’Internet ou qui font livrer les cadeaux chez leurs proches. Il est ainsi aisé de profiter de cette situation afin d’émettre de faux avis de passage ou de réception de colis et ainsi pousser les utilisateurs à ouvrir des pièces jointes malveillantes.

Le CERTA rappelle qu’il existe une vulnérabilité non corrigée dans les produits Adobe Acrobat et Adobe Reader permettant d’exécuter du code arbitraire à distance et que celle-ci est susceptible d’être exploitée, sous la forme d’une carte de vœux par exemple. Il est fortement recommandé d’appliquer les contournements provisoires détaillés dans l’alerte CERTA-2009-ALE-023 afin de limiter les risques de compromission.

Documentation

4 Vulnérabilités des produits Citrix

La semaine dernière, l’éditeur Citrix a publié deux bulletins de sécurité :
  • CTX123649, relatif aux produits NetScaler et Access Gateway Enterprise Edition, fait référence à la vulnérabilité détaillée dans CVE-2009-4609. Cette vulnérabilité a fait l’objet d’une alerte CERTA-2009-ALE-017 puis de plusieurs avis pour les éditeurs ayant corrigé leurs produits : CERTA-2009-AVI-372, CERTA-2009-AVI-376, CERTA-2009-AVI-377 et CERTA-2009-AVI-422. Le CERTA n’a pas publié d’avis de sécurité relatif à ce bulletin Citrix car il ne constitue qu’un contournement provisoire détaillant les éléments de configuration à prendre en compte pour rendre une attaque inopérente.
  • CTX123610, relatif aux produits Clientless SSL VPN, détaille une vulnérabilité dans l’implémentation de la couche SSL de ces produits. Dans ce cas également, le CERTA n’a pas produit d’avis car la vulnérabilité dont il est question n’est pas corrigée dans ces produits Citrix mais fait simplement l’objet de contournements provisoire.

En tout état de cause, ces recommandations sont évidemment à appliquer si vous disposez de ces équipements ou si vous mettez en œuvre ce type de technologies.

Documentation :

http://support.citrix.com/article/CTX123649
http://support.citrix.com/article/CTX123610

Rappel des avis émis

Dans la période du 14 au 20 décembre 2009, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :