Exploitation de serveurs Web au moyen d’interpréteurs de commande Web

Numéro : IN17-001
Date : 24 février 2017

Objet

Cette note d’information a pour objet d’attirer votre attention sur l’utilisation d’interpréteurs de commande Web pour exploiter des serveurs Web.

Évaluation

Un interpréteur de commande est une interface utilisateur qui permet aux utilisateurs de saisir des commandes dans un système d’exploitation. Un interpréteur de commande Web est un script conçu pour donner accès à un interpréteur de commande sur un serveur Web à partir d’un navigateur. Les interpréteurs de commande Web peuvent techniquement être utilisés par des utilisateurs autorisés pour exécuter des commandes légitimes, mais ce n’est pas recommandé ni habituel.

Pour installer un interpréteur de commande Web sur un serveur Web, un acteur malveillant pourrait analyser un serveur pour trouver des vulnérabilités à exploiter. Ces vulnérabilités sont habituellement trouvées sur des applications Web légitimes, y compris les systèmes de gestion du contenu Web. Lorsqu’une vulnérabilité est relevée, elle peut être exploitée pour téléverser un interpréteur de commande Web. Une fois installé, l’interpréteur de commande Web obtient les privilèges du serveur Web qui pourrait être utilisé pour exploiter le système. Un acteur malveillant peut tirer parti de cet accès pour notamment :

• effectuer des attaques externes et des activités malveillantes (y compris les attaques par déni de service, l’analyse d’hôtes et l’exploitation);
• voler des données et des justificatifs d’identité;
• réaffecter les privilèges dans l’hôte compromis;
• compromettre l’intégrité du contenu offert par le serveur Web, y compris insérer des trousses d’exploitation et d’autres maliciels;
• se déplacer dans le réseau et accéder à d’autres ressources.

Mesures Recommandées

Le CCRIC recommande aux organisations d’examiner les mesures d’atténuation suggérées ci-dessous et d’en envisager la mise en œuvre dans le contexte de leur environnement de réseau.

• Analyses régulières et surveillance du code/des fichiers/des dossiers non standard ou suspects sur les hôtes. Le code malveillant est souvent camouflé. Les outils de détection basés sur des règles/signatures (NeoPI, Yara, etc.) peuvent être utilisés en appui à l’analyse.
• Utilisation d’outils antimaliciels et d’autres outils de sécurité dans vos biens et/ou votre infrastructure. Vous devriez chercher à obtenir des outils permettant de détecter/d’identifier les infections et de les corriger/éliminer. Les outils antimaliciels et les autres outils de sécurité doivent être maintenus et gardés à jour, et tous les fichiers exécutables téléchargés dans l’infrastructure de votre organisation devraient être analysés avant d’être exécutés/ouverts.
• Examen des journaux (réseau et système) pour détecter les activités suspectes et le trafic qui peuvent être signe d’une compromission potentielle. Le comportement connexe à l’installation et aux activités des interpréteurs de commande Web peut varier considérablement et donc rendre leur détection difficile. Le CCRIC suggère de faire enquête en cas d’activités réseau ou système ou de paramètres d’utilisation atypiques, notamment :
• périodes prolongées de charge, de trafic ou d’utilisation élevé;
• fichiers avec horodateur inhabituel;
• présence de fichiers ou dossiers suspects;
• fichiers qui contiennent des références ou des mots clés suspects (cmd.exe, eval., etc.);
• connexions réseau non standard (trafic en dehors des heures d’exploitations normales, utilisation de ports ou de protocoles inhabituels, trafic en provenance ou à destination de pays ou régions inhabituels par rapport aux opérations, etc.);
• tout signe d’interpréteur de commande suspect.
• Les documents de sécurité logicielle (pratiques exemplaires, listes de vérification, guides, manuels, etc.) des développeurs et des fournisseurs d’applications Web devraient être examinés et faire l’objet de mesures de suivi au besoin.
• Utilisez un plan de sauvegarde et de récupération des données pour toute l’information essentielle. Faites et testez des sauvegardes périodiques pour limiter l’incidence de la perte des données ou des systèmes et pour accélérer le processus de reprise. Étant donné que les lecteurs de réseau peuvent aussi être touchés, ces données devraient être conservées dans un appareil distinct et les copies de sauvegarde devraient être stockées hors-ligne.
• Tenez votre système d’exploitation et vos logiciels à jour en appliquant les derniers correctifs. Les applications et les systèmes d’exploitation vulnérables sont la cible de la plupart des attaques. En s’assurant d’installer les plus récents correctifs, on réduit considérablement le nombre de points d’accès exploitables qu’un attaquant peut utiliser.

Le CCRIC invite les organisations qui détectent des activités liées à la présente note d’information à le lui signaler.

Références :

CCRIC, TR11-002 : Principes de prévention contre les menaces sophistiquées et persistantes             
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2011/tr11-002-fr.aspx

CCRIC, TR13-001 : Systèmes de gestion des contenus – sécurité et risques connexes
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/2013/in13-001-fr.aspx

US-CERT : TA15-314A – Compromised Web Servers and Web Shells - Threat Awareness and Guidance (en anglais seulement)
https://www.us-cert.gov/ncas/alerts/TA15-314A

Australian Signals Directorate : Securing Content Management Systems (en anglais seulement)
http://asd.gov.au/publications/protect/securing-cms.htm

Drupal : Securing your site (en anglais seulement)
https://www.drupal.org/security/site-configuration

Joomla! Security Checklist (en anglais seulement)
https://docs.joomla.org/Security_Checklist

WordPress – Hardening WordPress (en anglais seulement)
https://codex.wordpress.org/Hardening_WordPress

Date de modification :

2017-02-24