S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 octobre 2017
N° CERTFR-2017-ACT-040
Affaire suivie par: CERT-FR
le 12 octobre 2017

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTFR-2017-ACT-040

Gestion du document

Référence CERTFR-2017-ACT-040
Titre Bulletin d’actualité CERTFR-2017-ACT-040
Date de la première version 12 octobre 2017
Date de la dernière version 12 octobre 2017
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Vulnérabilités Dnsmasq

Résumé.

Le 2 octobre 2017, le logiciel Dnsmasq a fait l’objet d’une mise à jour corrigeant sept vulnérabilités (cf. section Documentation). Celles-ci ont été découvertes par l’équipe de sécurité de Google qui a publié un billet de blogue détaillant les vulnérabilités une fois le correctif publié (cf. section Documentation). Pour rappel, Dnsmaq est un programme gérant plusieurs services réseau : dns, dhcp, annonces de routeur (Router Advertisement) et démarrage sur le réseau.

Dnsmasq est installé par défaut dans la plupart des distributions Linux, sur Android, BSD et MacOS. On peut le trouver dans de nombreux routeurs et autres objets connectés.

Impact

Sur les sept vulnérabilités, trois sont de type exécution de code à distance, une permet une fuite d’information et trois conduisent à un déni de service.

CVE-2017-14491 :

Il s’agit d’un débordement de tampon sur le tas, potentiellement de deux octets. A noter que sur les versions 2.76 et antérieures, la taille du débordement n’est pas limité.

Afin de pouvoir exploiter cette vulnérabilité, un attaquant doit contrôler un serveur DNS en amont, ou tout du moins être capable de modifier la réponse en rajoutant la charge malveillante. Cela peut nécessiter d’avoir réalisé préalablement des attaques afin de modifier les réglages DNS des équipements périphériques. Un autre vecteur d’attaque peut être de forcer l’utilisateur à se rendre sur un site contrôlé par l’attaquant pour lui faire réaliser une requête résolvable uniquement par un serveur DNS compromis.

CVE-2017-14492 :

Il s’agit également d’un débordement de tampon sur le tas qui est causée une annonce de routeur (Router Advertisement) malveillante. Si cette vulnérabilité est sérieuse, elle n’impacte cependant que les réseaux IPv6 et nécessite que l’attaquant soit déjà présent sur le réseau interne.

CVE-2017-14493 :

La vulnérabilité CVE-2017-14493 est un débordement de tampon sur la pile suite à une requête DHCPv6 mal formée. Google indique qu’elle est triviale à exploiter, surtout lorsqu’elle est couplée à la vulnérabilité CVE-2017-14494 qui permet un contournement de la mesure de sécurité de disposition stochastique de l’espace d’adressage mémoire (ASLR, Address Space Layout Randomization). Cette vulnérabilité impacte elle aussi les réseaux en IPv6.

Compte tenu du protocole utilisé (le DHCP), cette vulnérabilité sera plutôt utilisée par les attaquants pour pivoter une fois qu’une tête de pont aura été établie dans l’intranet de la victime. Le CERT-FR rappelle par ailleurs qu’accepter des requêtes DHCP externes est une mauvaise pratique.

Conclusion

Ces vulnérabilités sont sérieuses et soulignent l’importance d’appliquer les mises à jour de sécurité des éditeurs sur son système d’information. Pour les distributions qui ne recevront pas de mises à jour, notamment pour certains routeurs et objets connectés, quelques bonnes pratiques peuvent diminuer la surface d’attaque: segmenter les sous-réseaux, filtrer le trafic vers les machines vulnérables acceptant uniquement les communications de machines de confiance et désactiver les services qui ne sont pas essentiels.

Documentation

Rappel des avis émis

Dans la période du 02 au 08 octobre 2017, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 12 octobre 2017
    Version initiale