55,4 % des
serveurs SSH européens seraient encore vulnérables
Par le JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0205/020530_sshvigisafe.shtml
Jeudi 30 mai 2002
En matière de sécurité
logicielle, ce ne sont pas toujours les vulnérabilités
les plus récentes qui sont les plus préoccupantes.
Une constatation qui ne doit pas empêcher de se tenir au courant
aussi des alertes les plus récentes... Assez souvent, l'un
des principaux facteurs de risques qui se distingue apparaît
plutôt être l'exploitabilité de la faille au
regard du périmètre d'ordinateurs impactés
sur un réseau. Ce facteur dépend de nombreux critères
dont la facilité pour des non-spécialistes de détourner
le fonctionnement primaire de l'outil, et ce quelle que soit la
complexité initiale de la démarche. De fait, une vulnérabilité
médiatisée avec une description détaillée
pas à pas des étapes pour l'exploiter devient a priori
plus dangereuse dans le monde réel qu'un concept, le plus
inquiétant soit-il, si celui-ci ne sort pas d'un cadre restreint
à certains spécialistes très pointus et non
dénués d'une certaine éthique.
La solution préconisée
: mise à jour vers SSH 2.0
Un exemple particulièrement
frappant nous est fourni cette semaine par le prestataire français
de veille et d'audits de sécurité Vigisafe.
Celui-ci
a mené pour son propre compte et au bénéfice
de ses clients une étude technique, non intrusive pour des
raisons légales, portant sur le nombre de serveurs en Europe
de l'Ouest encore vulnérables à la faille SSH CRC 32,
présentée
parmi d'autres dans un article de novembre 2001. Suivant un
principe très simple, des experts de la société
ont envoyé des requêtes en récupérant
la "bannière" de chaque serveur en retour, c'est
à dire les données de configuration accessibles avec
les différentes versions des outils installés. Au
passage, moins de 1 % des machines se sont montrées
protégés contre la divulgation de ces informations,
et selon l'un des ingénieurs de Vigisafe les leurres avec
de "fausses bannières" ont du représenter
une quantité négligeable.
Réalisée sur un panel de 51 611 serveurs
principalement français, britanniques et allemands équipés
de l'une des nombreuses implémentations du protocole d'administration
sécurisée à distance, l'enquête a abouti
à des résultats surprenants. Précisons que
la faille n'est théoriquement plus exploitable à partir
de la version 2.0 de SSH, et que les tests ont été
réalisés au dessus d'une base de données intégrant
la liste de toutes les transpositions faillibles recensées.
"Nous nous attendions à ce que 15 % environ du
panel soit toujours vulnérable" rapporte le directeur
général de Vigisafe, Pascal Le Solliec (lire
sa fiche dans le Carnet des Managers du JDNet). "Au total,
ce sont 55,4 % des serveurs SSH présents sur le réseau
européen qui sont encore vulnérables à cette
faille parue il y a maintenant 8 mois. [...] Habituellement, nous
gardons nos alertes pour nos clients. Mais quand nous sommes tombés
là-dessus, il nous a paru important de le rendre public."
Un possible ver qui
exploiterait la faille SSH ?
"Récemment,
l'exploit qui permet d'attaquer près de 80 versions
ou implémentations différentes de SSH a été
mis à la disposition du public sur [un site spécialisé
assez fréquenté]", indique l'ingénieur
en sécurité de Vigisafe qui préfère
ne pas dévoiler son identité. "Beaucoup de serveurs
ont déjà été piratés par ce biais,
en particuliers par des brésiliens qui sont aujourd'hui assez
actifs", dans le mauvais sens du terme. Parmi les plus préoccupantes,
"il y a donc cette faille, et celle de PHP qui a également
été publiée. Nous savons ce qui se passe car
nous avons des oreilles un peu partout."
"Il existe plusieurs façons de faire de la veille",
affirme de son côté Pascal Le Solliec. "En ce
qui nous concerne, nous correspondons avec le milieu des hackers
éthiques (les "white hats" tels que les appellent
parfois la communauté d'acteurs de la sécurité,
ndlr). En quelque sorte, nous suivons la R&D des hackers."
Or, sans que la réalité d'un ver de type Nimda ou
Code Red tirant parti de la faille SSH CRC 32 ne soit prouvée,
il semblerait que sa faisabilité ait été étudiée...
"Si un ver exploitait cette vulnérabilité, sa
propagation pourrait être foudroyante" souligne le directeur
général de Vigisafe.
Même si l'idée semble ici relever du concept, le détail
pas à pas de l'attaque type est à présent accessible.
L'exploitabilité de cette faille, jugée pourtant complexe
lors de sa découverte, est donc aujourd'hui plus élevée.
Pour passer au travers des attaques, les organismes de référence
comme le Cert
ou le Ciac
américains (liens vers les bulletins d'alertes ou notes d'incidents)
suggèrent de passer à une implémentation de
la v2.0 du protocole, ou d'installer les correctifs qui dépendent
du produit concerné. Une petite rustine pour éviter
de gros problèmes.
[François Morel, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|
|