Exploitation de serveurs Web au moyen d’interpréteurs de commande Web
Numéro : IN17-001
Date : 24 février 2017
Objet
Cette note d’information a pour objet d’attirer votre attention sur l’utilisation d’interpréteurs de commande Web pour exploiter des serveurs Web.
Évaluation
Un interpréteur de commande est une interface utilisateur qui permet aux utilisateurs de saisir des commandes dans un système d’exploitation. Un interpréteur de commande Web est un script conçu pour donner accès à un interpréteur de commande sur un serveur Web à partir d’un navigateur. Les interpréteurs de commande Web peuvent techniquement être utilisés par des utilisateurs autorisés pour exécuter des commandes légitimes, mais ce n’est pas recommandé ni habituel.
Pour installer un interpréteur de commande Web sur un serveur Web, un acteur malveillant pourrait analyser un serveur pour trouver des vulnérabilités à exploiter. Ces vulnérabilités sont habituellement trouvées sur des applications Web légitimes, y compris les systèmes de gestion du contenu Web. Lorsqu’une vulnérabilité est relevée, elle peut être exploitée pour téléverser un interpréteur de commande Web. Une fois installé, l’interpréteur de commande Web obtient les privilèges du serveur Web qui pourrait être utilisé pour exploiter le système. Un acteur malveillant peut tirer parti de cet accès pour notamment :
- effectuer des attaques externes et des activités malveillantes (y compris les attaques par déni de service, l’analyse d’hôtes et l’exploitation);
- voler des données et des justificatifs d’identité;
- réaffecter les privilèges dans l’hôte compromis;
- compromettre l’intégrité du contenu offert par le serveur Web, y compris insérer des trousses d’exploitation et d’autres maliciels;
- se déplacer dans le réseau et accéder à d’autres ressources.
Mesures Recommandées
Le CCRIC recommande aux organisations d’examiner les mesures d’atténuation suggérées ci-dessous et d’en envisager la mise en œuvre dans le contexte de leur environnement de réseau.
- Analyses régulières et surveillance du code/des fichiers/des dossiers non standard ou suspects sur les hôtes. Le code malveillant est souvent camouflé. Les outils de détection basés sur des règles/signatures (NeoPI, Yara, etc.) peuvent être utilisés en appui à l’analyse.
- Utilisation d’outils antimaliciels et d’autres outils de sécurité dans vos biens et/ou votre infrastructure. Vous devriez chercher à obtenir des outils permettant de détecter/d’identifier les infections et de les corriger/éliminer. Les outils antimaliciels et les autres outils de sécurité doivent être maintenus et gardés à jour, et tous les fichiers exécutables téléchargés dans l’infrastructure de votre organisation devraient être analysés avant d’être exécutés/ouverts.
- Examen des journaux (réseau et système) pour détecter les activités suspectes et le trafic qui peuvent être signe d’une compromission potentielle. Le comportement connexe à l’installation et aux activités des interpréteurs de commande Web peut varier considérablement et donc rendre leur détection difficile. Le CCRIC suggère de faire enquête en cas d’activités réseau ou système ou de paramètres d’utilisation atypiques, notamment :
- périodes prolongées de charge, de trafic ou d’utilisation élevé;
- fichiers avec horodateur inhabituel;
- présence de fichiers ou dossiers suspects;
- fichiers qui contiennent des références ou des mots clés suspects (cmd.exe, eval., etc.);
- connexions réseau non standard (trafic en dehors des heures d’exploitations normales, utilisation de ports ou de protocoles inhabituels, trafic en provenance ou à destination de pays ou régions inhabituels par rapport aux opérations, etc.);
- tout signe d’interpréteur de commande suspect.
- Les documents de sécurité logicielle (pratiques exemplaires, listes de vérification, guides, manuels, etc.) des développeurs et des fournisseurs d’applications Web devraient être examinés et faire l’objet de mesures de suivi au besoin.
- Utilisez un plan de sauvegarde et de récupération des données pour toute l’information essentielle. Faites et testez des sauvegardes périodiques pour limiter l’incidence de la perte des données ou des systèmes et pour accélérer le processus de reprise. Étant donné que les lecteurs de réseau peuvent aussi être touchés, ces données devraient être conservées dans un appareil distinct et les copies de sauvegarde devraient être stockées hors-ligne.
- Tenez votre système d’exploitation et vos logiciels à jour en appliquant les derniers correctifs. Les applications et les systèmes d’exploitation vulnérables sont la cible de la plupart des attaques. En s’assurant d’installer les plus récents correctifs, on réduit considérablement le nombre de points d’accès exploitables qu’un attaquant peut utiliser.
Le CCRIC invite les organisations qui détectent des activités liées à la présente note d’information à le lui signaler.
Références :
CCRIC, TR11-002 : Principes de prévention contre les menaces sophistiquées et persistantes
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-002-fr.aspx
CCRIC, TR13-001 : Systèmes de gestion des contenus – sécurité et risques connexes
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2013/in13-001-fr.aspx
US-CERT : TA15-314A – Compromised Web Servers and Web Shells - Threat Awareness and Guidance (en anglais seulement)
https://www.us-cert.gov/ncas/alerts/TA15-314A
Australian Signals Directorate : Securing Content Management Systems (en anglais seulement)
http://asd.gov.au/publications/protect/securing-cms.htm
Drupal : Securing your site (en anglais seulement)
https://www.drupal.org/security/site-configuration
Joomla! Security Checklist (en anglais seulement)
https://docs.joomla.org/Security_Checklist
WordPress – Hardening WordPress (en anglais seulement)
https://codex.wordpress.org/Hardening_WordPress
Note aux lecteurs
En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.
S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt
Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :
Téléphone : 613-944-4875 ou 1-800-830-3118
Télécopieur : 613-998-9589
Courriel : ps.communications-communications.sp@canada.ca
- Date de modification :