CERTA-2004-ALE-001

Vulnerability from certfr_alerte - Published: - Updated:

None

Description

La « défiguration » d'un site WEB, est une intrusion menée sur un site WEB ayant pour effet d'en modifier le contenu.

Une société a automatisé un procédé qui prévient les administrateurs des sites WEB défigurés. Le message d'alerte contient des « explications » et une référence à un site WEB qui donne des « recommandations » sur la marche à suivre :

« What is the next step?

The remediation process can be broken down into this high-level set of procedures:

1) Replace the defaced message with a 'temporarily unavailable' message to retain reputation.

2) Restore the original website (recommended: reload server and website in the event backdoors were installed).

3) Install all appropriate security bug fixes and patches.

4) Perform external security assessment to ensure all security holes and vulnerabilities are resolved.

Remote Assessment [remoteassessment.com] can guide, assist and perform all of the steps listed above. Contact Remote Assessment immediately to begin the remediation process. » ^1^

Ces conseils semblent être de bon sens. En pratique, ils posent de nombreux problèmes.

Le premier est qu'un tel traitement « amateur » de l'incident échappe aux équipes qui en ont officiellement la mission, qui savent adapter leur réponse au contexte de la victime bien mieux qu'un message envoyé automatiquement par un inconnu.

Le deuxième problème vient de ce que les « recommandations », si on les suit à la lettre, conduisent à :

  1. écraser la page posée par l'intrus ainsi que les divers traces et indices associés ; l'annonce de la défiguration de votre site est déjà publiée, avec un miroir de la page concernée, sur un site consacré à cet effet ; il est donc naïf de croire qu'on protège sa réputation en mettant une page de substitution qui ne trompera personne ;
  2. écraser les éléments permettant de comprendre ce qui a été fait par l'intrus sur le serveur ; en effet la défiguration n'est que l'aspect visible, le vrai problème comprend aussi et surtout l'intrusion dans votre système (déterminer ce que l'intrus a fait une fois dans la place : installation de rootkits ou autre moyens de masquer son activité, installation de porte dérobée, installation de serveurs, lecture ou modification de documents, attaques commises avec votre adresse IP, ... et toute action pouvant engager à priori votre responsabilité) ;
  3. écraser les logiciels en place, si bien qu'on ne pourra plus affirmer lequel était vulnérable ; sans analyse approfondie qui met en évidence la vulnérabilité exploitée par l'intrus, le site risque d'être à nouveau compromis ; l'expérience montre en effet qu'une défiguration est souvent suivie de nombreuses tentatives d'intrusions ;
  4. polluer les journaux d'événements de sécurité avec des traces qui n'ont rien à voir avec l'incident, au risque d'effacer des indices intéressants.

Sous l'apparence d'une aide qui vous est apportée, ce type de message d'alerte prodigue de mauvais conseils. Il conduit à compromettre considérablement les chances de mener à bien l'analyse qui permettra de comprendre l'intrusion dans le système de traitement automatisé de données.

Solution

Lorsque vous recevez un message de ce type, il convient de suivre les conseils dispensés dans la note d'information CERTA-2002-INF-002. Avant toute action sur la machine compromise, prenez contact avec votre CERT de rattachement (le CERTA pour l'administration) et/ou votre chaîne fonctionnelle de sécurité des système d'information.

Tout système compromis, en particulier les sites WEB faisant l'objet d'une défiguration.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTout syst\u00e8me compromis, en particulier les sites WEB faisant  l\u0027objet d\u0027une d\u00e9figuration.\u003c/P\u003e",
  "closed_at": "2004-01-30",
  "content": "## Description\n\nLa \u00ab d\u00e9figuration \u00bb d\u0027un site WEB, est une intrusion men\u00e9e sur un site\nWEB ayant pour effet d\u0027en modifier le contenu.\n\nUne soci\u00e9t\u00e9 a automatis\u00e9 un proc\u00e9d\u00e9 qui pr\u00e9vient les administrateurs des\nsites WEB d\u00e9figur\u00e9s. Le message d\u0027alerte contient des \u00ab explications \u00bb\net une r\u00e9f\u00e9rence \u00e0 un site WEB qui donne des \u00ab recommandations \u00bb sur la\nmarche \u00e0 suivre :\n\n*\u00ab What is the next step?*\n\n*The remediation process can be broken down into this high-level set of\nprocedures:*\n\n*1) Replace the defaced message with a \u0027temporarily unavailable\u0027 message\nto retain reputation.*\n\n*2) Restore the original website (recommended: reload server and website\nin the event backdoors were installed).*\n\n*3) Install all appropriate security bug fixes and patches.*\n\n*4) Perform external security assessment to ensure all security holes\nand vulnerabilities are resolved.*\n\n*Remote Assessment \\[remoteassessment.com\\] can guide, assist and\nperform all of the steps listed above. Contact Remote Assessment\nimmediately to begin the remediation process. \u00bb* [^1^](#foot46)\n\nCes conseils semblent \u00eatre de bon sens. En pratique, ils posent de\nnombreux probl\u00e8mes.\n\nLe premier est qu\u0027un tel traitement \u00ab amateur \u00bb de l\u0027incident \u00e9chappe\naux \u00e9quipes qui en ont officiellement la mission, qui savent adapter\nleur r\u00e9ponse au contexte de la victime bien mieux qu\u0027un message envoy\u00e9\nautomatiquement par un inconnu.\n\nLe deuxi\u00e8me probl\u00e8me vient de ce que les \u00ab recommandations \u00bb, si on les\nsuit \u00e0 la lettre, conduisent \u00e0 :\n\n1.  \u00e9craser la page pos\u00e9e par l\u0027intrus ainsi que les divers traces et\n    indices associ\u00e9s ; l\u0027annonce de la d\u00e9figuration de votre site est\n    d\u00e9j\u00e0 publi\u00e9e, avec un miroir de la page concern\u00e9e, sur un site\n    consacr\u00e9 \u00e0 cet effet ; il est donc na\u00eff de croire qu\u0027on prot\u00e8ge sa\n    r\u00e9putation en mettant une page de substitution qui ne trompera\n    personne ;\n2.  \u00e9craser les \u00e9l\u00e9ments permettant de comprendre ce qui a \u00e9t\u00e9 fait par\n    l\u0027intrus sur le serveur ; en effet la d\u00e9figuration n\u0027est que\n    l\u0027aspect visible, le vrai probl\u00e8me comprend aussi et surtout\n    l\u0027intrusion dans votre syst\u00e8me (d\u00e9terminer ce que l\u0027intrus a fait\n    une fois dans la place : installation de rootkits ou autre moyens de\n    masquer son activit\u00e9, installation de porte d\u00e9rob\u00e9e, installation de\n    serveurs, lecture ou modification de documents, attaques commises\n    avec votre adresse IP, ... et toute action pouvant engager \u00e0 priori\n    votre responsabilit\u00e9) ;\n3.  \u00e9craser les logiciels en place, si bien qu\u0027on ne pourra plus\n    affirmer lequel \u00e9tait vuln\u00e9rable ; sans analyse approfondie qui met\n    en \u00e9vidence la vuln\u00e9rabilit\u00e9 exploit\u00e9e par l\u0027intrus, le site risque\n    d\u0027\u00eatre \u00e0 nouveau compromis ; l\u0027exp\u00e9rience montre en effet qu\u0027une\n    d\u00e9figuration est souvent suivie de nombreuses tentatives\n    d\u0027intrusions ;\n4.  polluer les journaux d\u0027\u00e9v\u00e9nements de s\u00e9curit\u00e9 avec des traces qui\n    n\u0027ont rien \u00e0 voir avec l\u0027incident, au risque d\u0027effacer des indices\n    int\u00e9ressants.\n\nSous l\u0027apparence d\u0027une aide qui vous est apport\u00e9e, ce type de message\nd\u0027alerte prodigue de mauvais conseils. Il conduit \u00e0 compromettre\nconsid\u00e9rablement les chances de mener \u00e0 bien l\u0027analyse qui permettra de\ncomprendre l\u0027intrusion dans le syst\u00e8me de traitement automatis\u00e9 de\ndonn\u00e9es.\n\n## Solution\n\nLorsque vous recevez un message de ce type, il convient de suivre les\nconseils dispens\u00e9s dans la note d\u0027information CERTA-2002-INF-002. Avant\ntoute action sur la machine compromise, prenez contact avec votre CERT\nde rattachement (le CERTA pour l\u0027administration) et/ou votre cha\u00eene\nfonctionnelle de s\u00e9curit\u00e9 des syst\u00e8me d\u0027information.\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2004-ALE-001",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2004-01-30T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Difficult\u00e9 de prouver sa bonne foi vis-\u00e0-vis d\u0027actions commises par l\u0027intrus au moyen des syst\u00e8mes compromis (risque l\u00e9gal)"
    },
    {
      "description": "Destruction d\u0027\u00e9l\u00e9ments qui permettent de mener correctement l\u0027analyse technique mettant en \u00e9vidence le mode op\u00e9ratoire d\u0027un intrus, ce qui peut souvent conduire \u00e0 de nouvelles intrusions (risque technique)"
    }
  ],
  "summary": null,
  "title": "Obstacles \u00e0 la r\u00e9solution d\u0027incidents",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.