Vulnérabilité sévère dans GLIBC sur Linux

Découverte de la vulnérabilité « GHOST »

Qualys publie un bulletin de sécurité pour la vulnérabilité « GHOST » découverte sur les systèmes Linux. Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système.

Explications

Le 27 janvier 2015, Qualys annonce que son équipe chargée de la recherche en sécurité a découvert dans la bibliothèque C de GNU/Linux (glibc) une vulnérabilité critique qui permet aux pirates de prendre le contrôle à distance de tout un système en se passant totalement des identifiants système. Qualys a travaillé de manière étroite et coordonnée avec les fournisseurs de distributions Linux pour proposer un patch pour toutes les distributions de systèmes Linux touchés. Ce patch est disponible dès aujourd’hui auprès des fournisseurs correspondants.

Baptisée GHOST (CVE-2015-0235) parce qu’elle peut être déclenchée par les fonctions http://www.gnu.org/software/libc/manual/html_node/Host-Names.html cette vulnérabilité touche de nombreux systèmes sous Linux à partir de la version glibc-2.2 publiée le 10 novembre 2000. Les chercheurs Qualys ont par ailleurs détecté plusieurs facteurs qui atténuent l’impact de cette vulnérabilité parmi lesquels un correctif publié le 21 mai 2013 entre les versions glibc-2.17 et glibc-2.18. Malheureusement, ce correctif n’ayant pas été classé comme bulletin de sécurité, la plupart des distributions stables et bénéficiant d’un support à long terme ont été exposées, dont Debian 7 (« Wheezy »), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 et Ubuntu 12.04.

Compte tenu du nombre de systèmes basés sur glibc, nous considérons qu’il s’agit d’une vulnérabilité sévère qui doit être corrigée immédiatement. La meilleure marche à suivre pour atténuer le risque est d’appliquer un patch fourni par votre fournisseur de distributions Linux.

Comment se protéger

LINUX DEBIAN

Les distributions Debian 6 (Squeeze), Debian 7 (Wheezy) et Debian 8 (Jessie) sont vulnérables.

  • La version 6 (oldstable) n’est plus activement maintenue, sauf en utilisant le canal LTS (Long Term Support).
  • La version 7 (stable) est maintenue, il suffit de mettre à jour les paquets (apt)
  • La version 8 (testing) est maintenue, il suffit de mettre à jour les paquets (apt)

Plus d’informations : https://security-tracker.debian.org/tracker/CVE-2015-0235

LINUX REDHAT / CENTOS

Les distributions RHEL 5, RHEL 6 et RHEL 7 sont vulnérables.

  • Red Hat Enterprise Linux version 5 (glibc) RHSA-2015:0090
  • Red Hat Enterprise Linux version 6 (glibc) RHSA-2015:0092
  • Red Hat Enterprise Linux version 7 (glibc) RHSA-2015:0092

Plus d’informations :

Conclusion

Vous devez mettre à jour de manière urgente tous vos systèmes Linux. Pour les systèmes RedHat et CentOS, le produit de gestion de parc RedHat Satellite, et son équivalent opensource Fedora Spacewalk, sont un atout précieux pour automatiser et déployer des mises à jour.

 

Recrudescence d’attaques de sites web annoncée pour le 15/01/2015

Multiplication des attaques

L’actualité récente de l’assassinat de salariés de Charlie Hebdo a vu plusieurs contre-effets. Un immense élan populaire de solidarité d’un côté. De l’autre, dans l’espace numérique, des actions et réactions. Différents groupes liés aux Anonymous ont commencé des représailles visant des activistes islamistes. En réaction, des activistes islamistes ont entrepris d’attaquer des sites web, en France notamment.

 

Annonce d’attaques de site web pour le 15/01/2015

Des opérations d’attaques informatiques ont été annoncées pour la journée du 15 janvier 2015, par des groupes de pirates informatiques. Pour l’essentiel, il s’agirait d’attaques de type « defacement », qui visent à remplacer la page d’accueil du site par un message revendicatif.

Exemple :

exemple defacement

Bien que ce type d’attaques soit relativement courant, l’évènement tient à l’annonce d’un nombre important de cibles sur un délai court. En prémices, sur la journée du 12 janvier 2015, plus de 1000 sites institutionnels de collectivités locales ont été défacées.

Des attaques de type « déni de service distribué » (DDoS) sont aussi susceptibles de se produire, pour rendre les sites injoignables. Les serveurs croulant sous des requêtes factices. Ce type d’attaque semble plutôt cibler les systèmes de l’Etat (ministères, services centraux).

Comment se protéger ?

Préalable

Il faut tout d’abord bien cartographier ses applications. Connaitre quels logiciels sont exécutés sur quels systèmes est primordial. Il va vous permettre de déterminer la criticité de chaque application et le niveau de risque encouru.

Ensuite, vous y associez les informations suivantes :

  • Quelles conséquences en cas d’indisponibilité de l’application ?
  • Quelles conséquences en cas de perte ou vol des données ?
  • Quelles conséquences en cas d’altération des données ?

Actions

La première des précautions, qui est valable toute l’année, est de maintenir à jour les systèmes concernés. Disposer d’un système de dernière génération, sur lequel sont appliqués tous lespatchs de sécurité et correctifs de bugs fournis par l’éditeur.

Si vous utilisez des logiciels applicatifs, comme des CMS (Joomla, WordPress, Drupal), vous devez aussi (et surtout) les maintenir à jour. La majorité des attaques de type « defacement » exploitent des failles de ces logiciels très courants.

Vous devez disposer de sauvegardes viables pour parer à toute éventualité.

Enfin, deux niveaux de protection complémentaires sont efficaces contre ces menaces :

–          Un pare-feu (firewall) qui publie un service web fournit des protections contre les attaques réseaux, via des fonctionnalités IPS (Intrusion Prevention System). Sur les firewalls FortiGate, il suffit d’appliquer le profil « protect_http_server » sur la règle d’accès pour protéger la ressource.

–          Un reverse proxy (waf) permet d’apporter de la sécurité applicative à vos sites. Il embarque des signatures d’attaques et d’exploit référencés quotidiennement, pour empêcher les robots de s’introduire et de corrompre le site. Sur les appliances FortiWeb, ces signatures sont incluses. De plus, une fonctionnalité « Anti-Defacement » permet automatiquement de réparer le site en cas de defacement qui aurait abouti.

Conclusion : mise à jour urgente de vos systèmes et applications web.

Vous devez mettre à jour de manière urgente vos systèmes et applications web. Vous devez vérifier que vous disposez de sauvegardes viables en cas d’incident avéré.

Si vous disposez d’équipements firewall et reverse proxy filtrant (waf), vous serez bien préparés. Surveillez les incidents qui pourraient se produire (logs). Si vous ne disposez pas des deux, vos applications sont exposées.

Ce type d’actions, orchestrées et mis à exécution par des dizaines de postes contrôlés (zombies), va se développer et s’intensifier à l’avenir. La technique est facilitée aujourd’hui par des outils à disposition des pirates, et des failles de sécurité publiées toujours plus vite. Laissant aux éditeurs peu de temps pour corriger leurs logiciels, et ensuite, aux utilisateurs pour les appliquer.