|
|
 |
Accueil | Ressources | Avis et Alertes publics
| Dangers potentiels
| Référence : |
CERT-IST/DG-2008.005 |
| Version : |
1.0 |
| Date de la version : |
17 Mars 2008 |
|
Classification de la vulnérabilité
| Risque : |
 |
Elevé |
|
| Conséquence : |
Accès au système |
| Niveau de confiance : |
Faille officielle |
| Niveau de connaissance de l'attaquant : |
Débutant |
| Moyen nécessaire à l'attaquant : |
Accès distant (sans compte) sur un service standard |
|
Information sur le(s) système(s) impacté(s)
Description
| Nature du problème : |
|
Le Cert-IST émet ce "Danger Potentiel" car depuis ces dernières semaines une forte augmentation d'attaques massives de sites web a été constatée et deux attaques sont actuellement en cours :
- attaque par injection (ASP/SQL),
- attaque par détournement des fonctionnalités des moteurs de recherche (utilisation du cache).
Ces attaques de sites web ont pour finalité de rediriger l'utilisateur vers des sites malveillants afin d'exploiter des vulnérabilités liées aux outils de navigation. Les postes utilisateurs à jour en termes de correctifs de sécurité ne sont pas connus pour être vulnérables à ces attaques.
Ces types d'attaques sont particulièrement dangereux compte tenu des habitudes de navigation des utilisateurs, et de l'utilisation de ces sites populaires (sites de recherche, d'actualités, forum, etc.).
Nota : - Ces sites web vulnérables sont des sites peu ou mal protégés, utilisant des versions non à jour de leur serveur, et ont été compromis à un moment donné. Le contenu de tels sites est donc peu fiable.
- D'autres sites, notamment les sites de recherche tels que CNET, ne sont pas compromis, néanmoins certaines de leur fonctionnalités (ex. mise en cache) sont exploitées à des fins malveillantes.
- Actuellement, les attaques observées ont pour cible uniquement les postes utilisateurs Windows.
|
|
| Analyse détaillée : |
|
Le SANS, l'US-Cert ainsi que certains éditeurs (ex. McAfee), ont rapporté de nombreux cas de compromissions massives de sites web. Il en ressort que ces attaques sont de deux types :
- [1] Des injection de code malveillant dans des pages ASP valides exploitant une base SQL et référençant des codes Javascript malveillants.
McAfee a rapporté que ce type d'infection avait touché plus de 10 000 sites et ce nombre serait en augmentation. Cette attaque tente d'exploiter des vulnérabilités connues : MS06-014, ActiveX RealPlayer, etc.
Les malwares téléchargés sont connus et variés : Downloader-BGX, Exploit-RealPlay, JS/Exploit-BO.gen, VBS/Psyme, ...
Neil Carpenter (Microsoft) rapporte dans son blog que la vulnérabilité exploitée dans les pages ASP utilisant du SQL est principalement due à un défaut de vérification et de conversion (CAST) des paramètres lors du développement des pages ASP hébergées.
L'attaque, rapportée par le SANS ce week-end, pourrait avoir utilisée cette vulnérabilité pour rediriger les utilisateurs vers le site malveillant "2117966.net", hébergeant du code JavaScript malicieux.
Nota : Des attaques similaires ont été identifiées dans des pages valides du gestionnaire de forums phpBB. Ce type d'infection aurait impacté plus de 200 000 pages hébergées sur des serveurs vulnérables.
- [2] Des injections IFRAME :
- dans les moteurs de recherche de ZDnet Asia et TorrentReactor,
- dans les moteurs de recherche des sites CNET, TV.com, News.com, MySimon.com, exploitant les fonctions de mise en cache,
- dans les moteurs de recherche des sites universitaires ou d'agences gouvernementales US, exploitant des rebonds vers des domaines malveillants d'extension ".info".
|
|
Solution
Recommandations du Cert-IST
Le Cert-IST vous recommande :
- de filtrer les adresses et noms de domaines impliqués dans ces attaques,
- de vérifier les traces de ces mêmes adresses et domaines dans les journaux (logs) d'équipements d'accès à Internet (proxy, etc.) afin d'identifier les machines potentiellement infectées, ou ayant tenté de naviguer vers ces sites.
Nota :
Dans le cas de l'attaque [1] mentionnée dans l'analyse détaillée, le site malveillant identifié ce jour est le site "2117966.net".
Dans le cas de l'attaque [2] reportez-vous aux liens (01, 02 et 03) cités dans la rubrique "Documentation additionnelle" afin de connaître les adresses et domaines à filtrer et à vérifier dans les journaux.
Le Cert-IST vous recommande également :
- la plus grande vigilance lorsque vous naviguez sur Internet,
- de maintenir à jour en termes de sécurité vos systèmes d'exploitation,
- de maintenir à jour en termes de sécurité vos outils de navigations ou de messagerie,
- de maintenir à jour en termes de sécurité vos serveurs si vous hébergez du contenu,
- de désactiver JavaScript et ActiveX lorsque vous naviguez sur des sites peu sûrs.
|
|
Documentation additionnelle
- 01 - Article de D. Danchev "ZDNet Asia and TorrentReactor IFRAME-ed" du 4 mars 2008
- 02 - Article de D. Danchev "More CNET Sites Under IFRAME Attack" du 6 mars 2008
- 03 - Article de D. Danchev "More High Profile Sites IFRAME Injected" du 12 mars 2008
- 04 - Article de McAfee "Another Mass Attack Underway" du 12 mars 2008
- 05 - Article de McAfee "Follow Up To Yesterday’s Mass Hack Attack" du 13 mars 2008
- 06 - Article du SANS "2117966.net-- mass ASP injection" du 14 mars 2008
- 07 - Article de l'US-CERT "Search Engine IFRAME Injection Attacks" du 14 mars 2008
- 08 - Article du SANS "The Other iframe attack" du 15 mars 2008
- 09 - Article de Neil Carpenter (Microsoft) "Anatomy of a SQL Injection Incident" du 14 mars 2008
- 10 - Article de Neil Carpenter (Microsoft) "Anatomy of a SQL Injection Incident - Part 2" du 15 mars 2008
|
|
Historique
|
|
|
|
|
|
|
|
|
|
Version |
|
|
|
Commentaire |
|
|
|
Date |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.0 |
|
|
|
Création du danger potentiel |
|
|
|
17 Mars 2008 |
|
|
|
|
|
|
|
|
|
|
|
|
|
