Computer Emergency Response Team - Industrie Services et Tertiaire



			Avis et Alertes publics

			Articles du Cert-IST

			Liens utiles

			Presse - Evénements







		Version imprimante

Accueil | Ressources | Avis et Alertes publics | Alertes

Référence :	CERT-IST/AL-2008.001
Version :	1.0
Date de la version :	24 Juillet 2008

Classification de la vulnérabilité

Risque :

Elevé

Conséquence :

Tremplin
Atteinte à l`intégrité des données

Niveau de confiance :

Faille officielle

Niveau de connaissance de l'attaquant :

Connaisseur

Moyen nécessaire à l'attaquant :

Accès distant (sans compte) sur un service standard

Information sur le(s) système(s) impacté(s)

Plate(s)-forme(s) impactée(s) :

Indépendant de la plate-forme

Logiciel(s) impacté(s) :

Serveurs DNS
Clients DNS

Liste des produits impactés

Description

Contexte de publication :

Cette alerte Cert-IST concerne la faille DNS (CVE-2008-1447) qui affecte les serveurs et clients DNS.

Le Cert-IST a déjà émis sur cette faille :

le Danger Potentiel CERT-IST/DG-2008.007 (22 juillet 2008),
l'avis CERT-IST/AV-2008.310 (9 juillet 2008),
plusieurs messages dans la liste de diffusion "Vuln-coord" (9 et 21 juillet 2008).

Un blog dans le "Hub De gestion de Crise" du Cert-IST a également été créé pour suivre l'évolution de cette menace.

Nature du problème :

Nous émettons aujourd'hui une alerte pour cette faille parce que des programmes d'exploitations pour cette vulnérabilité viennent d'être publiés sur Internet.

Ces programmes :

permettent à un attaquant distant de corrompre le cache d'un serveur DNS vulnérable. Ils permettent typiquement d'associer une adresse IP arbitraire à un nom de domaine choisi par l'attaquant.
sont conçus pour attaquer des serveurs DNS "ISC BIND". Il n'est cependant pas exclu que ces programmes fonctionnent pour d'autres serveurs DNS que BIND.

Il est désormais urgent d'appliquer les correctifs et solutions de contournement disponibles.

Solution

01 - Correctifs de sécurité concernant la vulnerabilité de DNS

Reportez-vous à l'avis CERT-IST/AV-2008.310 pour plus d'information.

Nota : Nous avons eu une information indiquant qu'un serveur BIND sur lesquels les correctifs ont été appliqués pourrait être toujours vulnérable. Ce point n'est pas confirmé et est en cours d'investigation.
02 - Signatures pour détecter les tentatives d'attaques

Selon nos informations, des signatures IDS/IPS seraient disponibles auprès des éditeurs suivants (liste non exhaustive) :

IBM ISS
McAfee : détection des attaques visant un serveur Microsoft Windows (cf. le bulletin Microsoft MS08-037)
"Emerging Threats" : prototype de signature Snort ("DNS Poisoning Signature")

Nous vous recommandons de contacter votre éditeur de solution IDS/IPS pour plus d'information.

Signature ISS
- http://www.iss.net/threats/298.html

Signature proposée par "Emerging Threats"
- http://www.emergingthreats.net/cgi-bin/cvsweb.cgi/sigs/CURRENT_EVENTS/CURRENT_DNS_Poisoning

Signature McAfee (MS08-037)
- http://vil.nai.com/vil/content/v_vul38589.htm

03 - Traces indiquant les tentatives d'attaques contre un serveur "ISC BIND"

Des informations qui nous ont été transmises indiquent que sur un serveur BIND 9 mis à jour, l'attaque devrait faire monter de façon significative le compteur "mismatch responses received" dans le fichier des statistiques "named.stats". Ce fichier de statistique peut être généré à la volée au moyen de la commande "rndc stats". Ce point n'est pas confirmé et est en cours d'investigation.

Identifiant(s) du problème

CVE: CVE-2008-1447
CERT/CC: VU#800113

Documentation additionnelle

Archive du SANS 4765 du 24 juillet 2008
- http://isc.sans.org/diary.html?storyid=4765
Page de ISS (IBM - Internet Security Systems) du 23 juillet 2008
- https://webapp.iss.net/gtoc/index.html

Historique

Version

Commentaire

Date

1.0

Création de l'alerte

24 Juillet 2008



Copyright © 1999-2012 Cert-IST \| Mentions légales \| Plan du site