pfSense : sortie de la version 2.2.3 – corrections de sécurité

pfSense, le célèbre firewall open source basé sur BSD vient de sortir la dernière version, la 2.2.3.

Cette release corrige deux importantes types de faille de sécurité, la première touchant l’interface graphique d’administration (failles de type XSS) et la seconde touche le maintenant célèbre OpenSSL (CVE-2015-1788, CVE-2015-1789, CVE-2015-1790, CVE-2015-1791, CVE-2015-1792, CVE-2015-4000).

Des corrections de bugs touchent les problèmes de corrections de système de fichiers (j’en connais qui vont être content 😉 ).

A noter, que la partie IPSEC a subi de nombreuses améliorations (mise à jour vers strongSwan 5.3.2), de corrections de bugs (intégration de patchs de FreeBSD) et de nouvelles fonctionnalités (intégration de nouveaux modes pour la phase 1 en respect avec la RFC 5903, ajout du support de EAP-RADIUS pour les clients mobiles IKEv2…)

Avant la mise à jour je vous invite à lire de manière attentive les notes décrivant les changements de pfSense 2.2.3.

Je vous invite à mettre à jour votre système au plus vite, non sans avoir fait une bonne sauvegarde. Au passage, je rappelle la nécessité de ne pas laisser accessible l’interface web de votre pfSense via la patte WAN ou le réseau WiFi !

Thème WordPress : attention aux plugins premium

J’explique pourquoi faire attention aux thèmes Wordpress premium proposant des plugins premium payants. Comment choisir quelles solutions ?

WordPress est une des plateformes les plus utilisées afin de faire un blog ou même un site web. le nombre de plugins et de thèmes gratuits ou premium attirent de nombreux webmasters. Il est vrai qu’il est possible assez simplement et à moindre de coût de mettre en oeuvre un site web de qualité en utilisant l’écosystème de WordPress.

Par contre, un point important mais souvent négligé est la maintenance de votre beau site. En effet, comme tout logiciel exposé au web, il est indispensable de mettre à jour les différents composants : coeur du système (dans notre cas WordPress, mais ce peut-être Drupal ou un framework comme Django ou Symphony), les plugins (petits modules permettant d’ajouter des fonctionnalités diverses), le thème mais aussi la plateforme d’hébergement (votre intervention et votre niveau de responsabilité va dépendre du type d’hébergement : serveur dédié, machine virtuelle – IaaS, PaaS voire SaaS).

Les thèmes WordPress premium sont légion et rivalisent de fonctionnalités souvent bling bling et pas très utiles. En effet, trouver un thème wordpress simple et efficace relève du parcours du combatant. Le gros problèmes de ces thèmes qui sont des vraies usines à gaz vient des plugins premium fournis. Ces plugins wordpress permettent par exemple de créer des pages de manière graphique sans avoir à coder, de pourvoir faire des effets (parallax par exemple) ou de superbes galleries. Quand vous achetez votre thème, ces plugins sont fournis gracieusement. Normalement, lors des mises à jour du thème, ces plugins sont aussi mis à jour (à votre charge de bien veiller à uploader la nouvelle version de ces plugins). Le bas blesse quand l’éditeur du thème WordPress soit traîne des pieds pour faire la mise à jour soit du thème soit du plugins ou décide simplement de ne plus mettre à jour son thème. Votre situation devient plus compliquée. En effet, vous disposez de beaux plugins dont la version devient dépassée et souvent vulnérable.

Le conseil que je peux vous donner est le suivant : lors de la sélection de votre thème WordPress, apporter une attention toute particulière aux plugins premium fournis (et nécessaire pour votre utilisation, sinon ne les installer pas, c’est plus simple !) et acheter les licences correspondantes auprès des éditeurs de ces plugins. Le prix du thème sera au final plus élevé, mais vous vous assurez ainsi d’avoir toujours une installation à jour.

Sécurité des iPBX : responsabilité des intégrateurs

Je viens d’avoir un appel téléphonique d’un responsable d’une société qui vient de subir une fraude sur son installation téléphonique. Alerté par son opérateur, Orange pour ne pas le citer, il vient de subir des appels frauduleux pour un montant dépassant les 10k euros. Juste de quoi vous gâcher la journée.

L’opérateur ayant fait le nécessaire (suppression des appels à l’étranger), il cherche maintenant à savoir qui va payer cette facture bien salée. Et pour cela, il faut chercher le responsable, qui a fait la boulette. Un détournement des accès téléphoniques, un employé malintentionné ou une faille du système téléphonique.

Après un audit des accès téléphoniques de l’iPBX, cette hypothèse est rapidement écartée comme la seconde (les montants en jeu sont trop importants). Il reste donc l’hypothèse malheureusement la plus courante, une faille sur le système téléphonique.

Seul un audit permettra de déterminer quelle faille a été exploitée, et si cette faille est la conséquence d’une négligence dans la programmation et la maintenance du standard téléphonique. Malheureusement un certain nombre d’installateurs téléphoniques ou intégrateurs prennent la sécurité des équipements et des systèmes à la légère. Pour preuve, la non application des matchs de sécurité sur certains parcs de PABX pourtant reconnus vulnérables, ou la mise en oeuvre d’architecture dont la conception même fragilise toute l’infrastructure informatique de la société cliente.

Il est grand temps que le petit monde de la téléphonie (installateurs, éditeurs, constructeurs …) adopte des pratiques strictes en terme de sécurité. Et pour commencer, la mise à disposition des patchs de sécurité devrait être gratuit (ce n’est pas encore le cas de tous les constructeurs) et le déploiement des mises à jour de sécurité inclu au contrat de maintenance en incluant des SLA (délai de déploiement de la mise à jour maximum garanti …). Une veille technique devrait aussi faire partie de ces contrats avec une information claire diffusée au client.

Les intégrateurs ou installateurs privés en tant que professionnels reconnus sont responsables devant la loi du respect des bonnes pratiques. Laisser un mot de passe par défaut ou faible est un exemple simple, mais qui engage la responsabilité du prestataire. Comme le fait de ne pas avoir répondu aux solicitations de son client lui demandant de mettre à jour le système, ou le fait d’avoir programmé le système en ignorant les règles de sécurité connues.

Les attaques se faisant de plus en plus nombreuses, j’espère qu’à la fois les clients (ceux qui refusent de mettre à jour leur système et qui refusent tout contrat d’infogérance) et les professionnels prennent plus sérieusement en compte ces risques.

Téléphone SIP Snom : alerte de sécurité

Une alerte de sécurité vient d’être publiée ce jour sur le site Security Focus concernant les téléphones SIP de la marque SNOM. Les alertes sont de type critique. Si vous utilisez ces téléphones dans votre entreprise ou chez vos clients, je vous invite à lire de manière attentive cette alerte et d’apporter les correctifs nécessaires.

L’alerte touche les téléphones de bureau des gammes 3xx, 7xx et 8xx .

Les vulnérabilités touchent l’implémentation du serveur web implanté dans le téléphone, donc potentiellement toutes les actions utilisant ce serveur.

Les téléphones peuvent être compromis complètement par une attaque externe et il est possible de faire :

  • ajouter une backdoor au système, backdoor qui restera même si le téléphone est remis à 0 (reset)
  • activer à distance le microphone du téléphone afin d’écouter la pièce où est situé le téléphone
  • récupérer les conversations réalisées via le téléphone en installant un sniffer
  • rediriger les appels vers des numéros spéciaux avec pour conséquence une facture fortement alourdie.
  • utiliser le téléphone comme point d’entrée pour attaquer le réseau interne

La recommandation est terrible : ne pas utiliser le téléphone tant qu’un nouveau firmware ne vienne corriger les failles découvertes !

It is highly recommended by SEC Consult not to use this product until a
thorough security review of the firmware has been performed by security
professionals and all identified issues have been resolved.

Si vous voulez quand même utiliser ces téléphones, qui sont des produits de qualité, il faut respecter des règles strictes (règles qui devraient être mis en place dans tous les cas, quelque soit le téléphone) :

  • ne pas exposer l’interface web à l’extérieur de votre réseau, mais uniquement à des machines de confiance
  • ne pas réaliser d’auto-provisioning via un réseau externe non chiffré et bloquer la configuration via le serveur de Snom (provisioning.snom.com) – Ce provisioning est réalisé via le protocole HTTP non chiffré
  • ne pas exposer le port 5060 à l’extérieur de votre réseau sans avoir mis en place un filtrage

Pour conclure, si vous utilisez le client OpenVPN embarqué dans le téléphone, je vous engage à bien lire cette note de sécurité du wiki de Snom, et de réaliser au plus vite la mise à jour de vos téléphones.

GPG : mindmap des principales commandes

Une mindmap des principales commandes de GNU PG (GPG) sous licence CC BY-SA

pfSense : sortie de la version 2.1.2

Hier soir, tard dans la soirée, l’équipe de pfSense a sortie la version 2.1.2 qui corrige notamment le maintenant célèbre bug heart bleed d’OpenSSL (CVE-2014-0160).

Il faut noter la rapidité de l’équipe de pfSense à vous délivrer un correctif de qualité à comparer avec d’autres solutions propriétaires où nous sommes toujours dans l’attente d’une moindre communication (mais cela arrange peut-être certaines personnes).

En tout cas, un grand bravo à toute l’équipe de pfSense, car il ne s’agissait pas de refaire une simple mise à jour de dépendance comme on pourrait naïvement le croire.

Pour les soutenir, je vous invite à faire un tour sur leur store afin d’acheter un goodie ou même un firewall propulsé par pfSense pour votre maison prêt à l’emploi (je vous conseille VK-T40E2, testé et validé par bibi).

pfSense : Faille OpenSSL heartbeat ( Heart Bleed bug ) – CVE-2014-0160

pfSense est-il impacté par la faille du paquet OpenSSL dite du bug heart bleed ? La réponse est multiple

Introduction

Les utilisateurs de pfSense, la célèbre appliance de sécurité Open Source, se posent la question fort importante. Est-ce que mon pfSense est impacté par la faille du paquet OpenSSL dite du bug heart bleed (CVE-2014-0160) ? La réponse est multiple :

Version 2.03 :

Cette version de pfSense utilise une version d’OpenSSL non touché par la faille (0.9.8y). Ouf 🙂 ! Par contre, si vous utilisez le package Unbound, désactivez-le le temps de la mise à jour !

Version 2.1 et 2.1.1 :

Et oui, vous êtes vulnérables 🙁 !

OpenVPN

OpenVPN n’est exposé à cette faille que si il est utilisé en mode SSL/TLS sans clé d’authentification TLS. Si vous avez suivi le wizard, normalement vous êtes tranquille.

Les solutions palliatives

Modifications sur pfSense

  1. Ne pas ouvrir votre interface web à tout le net
  2. Si vous utilisez OpenVPN sans l’authentification TLS, vous devez modifier la configuration ou suspendre le service temporairement.
  3. D’autres paquets dépendent d’OpenSSL, mais en général le risque que la faille soit exploitée via ceci est faible. Mais s’ils ne sont pas critiques, le mieux est de les désactiver.

Snort

Des règles pour Snort viennent d’être publiées soit par l’équipe du projet, soit par de gentilles personnes.

Et le patch officiel ?

La version 2.1.2 qui corrige cette faille va sortir dans les prochaines heures. Suivez les commits sur github.

Quelques rappels utiles

Il ne faut jamais exposer l’interface de management à internet. Accédez-y via une machine local, ou via le VPN, ou encore via SSH. Changer le port par défaut de l’interface web, mettez un vrai mot de passe bien secure.

Si votre installation se révèle être vulnérable, suite à la mise à jour vous devez révoquer vos anciennes clés privées, en générer de nouvelles et créer de nouveaux certificats pour vos nouvelles clés.

Faille OpenSSL heartbeat : explication en vidéo ( Heart Bleed bug ) – CVE-2014-0160

Vidéo très bien faite expliquant la faille OpenSSL dite le Heartbleed bug. CVE-2014-0160

[ Alert openssl ] : faille de sécurité – CVE-2014-0160

Faille de sécurité OpenSSL

Une nouvelle de faille de sécurité a été découverte dans le paquet OpenSSL. Les versions impactées sont les suivantes :

  • 1.0.1
  • 1.0.2-beta
  • 1.0.1f
  • 1.0.2-beta1

Afin de corriger cette faille , une correction est disponible. Les versions 1.0.2 et 1.0.2-beta2 corrigent la faille.

Pour informations, les distributions ubuntu LTS (et non LTS) sont soit non affectées soit disposent d’un correctifs. Pour la 12.0.4LTS, c’est la version 1..0.1-4ubuntu5.12 et pour la 14.04LTS, c’est la version 1.0.1f-ubuntu2.

En ce qui concerne Debian, Squeeze n’est pas concernée par cette vulnérabilité. Par contre, pour Wheezy, la vulnérabilité a été corrigée dans la version 1.0.1e-2+deb7u5, pour Jessie, dans la version 1.0.1g-1 et enfin pour Sid, dans la version 1.0.1g-1.

Cette vulnérabilité impacte la prise en charge par OpenSSL de l’extension TLS/DTLS Heartbeat et peut permettre à un attaquant de compromettre les clefs privées et d’autres données sensibles en mémoire.

pfSense : sortie de la version 2.1.1 :-)

pfSense est une appliance de sécurité basée sur FreeBSD fort réputée.

En attendant la version 2.2, cette nouvelle version corrige 3 failles de sécurité (FreeBSD-SA-14:01.bsnmpd / CVE-2014-1452, FreeBSD-SA-14:02.ntpd / CVE-2013-5211, FreeBSD-SA-14:03.openssl / CVE-2013-4353, CVE-2013-6449, CVE-2013-6450), met à jour les drivers de cartes réseaux (em/igb/ixgb/ixgbe) et corrige des bugs mineurs.

Vous trouverez le détail de la mise à jour ICI .