Vous êtes sur le site public du Cert-IST

Alerte orange CERT-IST/AL-2020.008 : Attaques visant F5 BIG-IP

RSA.com et discours de Clinton modifiés ?

Date :28 Juillet 2005

Publication: Article

Le week-end du 12-13 Février, le site rsa.com (www.rsasecurity.com) a été "détourné". De même, un site rapportant le discours du Président Clinton relatif à la sécurité informatique a été modifié le 15 Février. Le discours (RealVideo) du président a été modifié, et le site concerné a été interrompu toute la journée du 16 Février dernier.

Plusieurs hypothèses ont été formulées à ce sujet :

- DNS Hijack:

Cette méthode d'attaque (par détournement de DNS) consiste a envoyer une information altérée en propagation à un serveur de nom principal, non autoritaire sur la zone attaquée, mais diffusant largement l'information, comme par exemple un root-server (serveur DNS principal universel, dont il existe une dizaine d'exemplaires de par le monde).

Le principe du DNS hijack est le suivant :

Le site visé par l'attaque dispose d'un serveur de nom A. L'attaquant B envoie au serveur de nom supérieur R (celui dont il dépend et qui peut être un root server) une information de mise à jour de zone avec l'adresse usurpée du serveur de nom A du domaine visé, via le protocole udp (protocole qui ne sollicite aucune réponse).

Lorsque les tables de routage entre l'attaquant B et le serveur principal R ne mettent pas en oeuvre un filtrage anti-spoofing, la requête sera satisfaite par le serveur principal R qui prend en compte la modification de la zone visée, et propage, au terme de sa durée de vie (ttl), l'information aux autres serveurs de nom, jusqu'à "contaminer" tous les serveurs internet, hormis le serveur de nom du domaine cible, qui n'acceptera naturellement pas de mise à jour en tant que serveur autoritaire sur sa zone.

Il est ainsi possible de modifier l'enregistrement d'une adresse canonique www.site.org <=> 1.2.3.4 en www.site.org <=> 5.6.7.8, adresse correspondant à un serveur web dont le contenu est totalement différent, sans pour autant que le site réel n'ait été compromis.

- Ingénierie sociale :

Aux Etats-Unis, il est possible de solliciter, par mail, le NIC (Network Information Center), pour obtenir la modification de l'adresse de son serveur autoritaire. En usurpant l'adresse mail du site, il est ainsi possible de formuler au NIC une requête de changement d'adresse de serveur qui sera automatiquement traitée et prise en compte dans les 24 heures. Le serveur de nom est ainsi encore une fois détourné, et l'on se trouve dans le cas de figure précédent.

- Modification de l'enregistrement du serveur primaire

Une récente vulnérabilité de BIND (corrigée par la version 8.2.2-P5) (Cf. Avis CERT-IST/1999.250) permet, dans des circonstances très particulières, la modification des tables du serveur autoritaire. Dans le cas d'un site disposant d'un serveur de nom A, un attaquant B exploite cette faille de sécurité pour modifier les tables directement sur le serveur A qui effectue normalement la propagation tous les jours.

Analyse :

Après consultation entre les différents CERTs, et avec l'aide des équipes d'administration de RSALabs Inc, la communauté FIRST a finalement confirmé la troisième hypothèse.

Il en résulte que :

- lorsque le site est contacté avec son adresse canonique (www.site.org), le site "modifié" est sollicité et répond en toute "normalité".

- lorsque le site est contacté avec son adresse IP (1.2.3.4), c'est le site réel qui répond.

Pour remédier à de telles attaques, il est nécessaire de vérifier les A records de son serveur de nom principal, et de procéder, dans le cas d'une altération, à une modification et à une propagation immédiate. Attention, le délai de propagation est variable, et cette manipulation ne prend effet définitif qu'après une moyenne de 24 heures.

La version 8.2.2-P5 de BIND corrige cette vulnérabilité.

Rappel : Il est possible de définir des listes d'accès restreignant les serveurs autorisés à effectuer du transfert de zone. Il s'agit de la directive allow-transfer, dans la catégorie options du fichier named.conf, qui doit lister : son propre domaine, et le/les serveurs secondaires.

Conclusion :

Ce qui pouvait apparaître, aux yeux du public, comme une compromission du site web rsa.com n'était en fait qu'un détournement de l'adresse réelle du serveur. Il ne faut pas se fier aux apparences ...

Aucune information complémentaire n'a été communiquée sur l'altération du discours du Président Clinton. Nos conclusions sur cette attaque ne sont donc que des hypothèses :

- compromission du serveur RealVideo et modification de la bande sonore du fichier téléchargeable, remise en service du nouveau fichier sur le site officiel

- détournement intégral du site (via DNS Hijack par modification d'enregistrements DNS), et donc y compris de la vidéo en diffusion

- compromission directe du serveur web hébergeant le discours.