dimanche 28 septembre 2014

Septembre : Le 24 c'est toujours Noël

Moins de six mois après Heartbleed surgit Shellshock. Loin des débats sur le niveau de sévérité réel de ce qui deviendra certainement une "famille" de vulnérabilités touchant (ou pas) un peu tout et n'importe quoi, l'année 2014 revet pour moi les atours d'une année riche d'enseignements qui nous permettront d'éviter une banalisation du travail de vigie des équipes chargées de la veille opérationnelle en vulnérabilités.

Construire puis maintenir (de manière pérenne) un processus de gestion des vulnérabilités qui s'adapte, d'une part, aux besoins en terme de sécurité exprimés par nos métiers et reflète, d'autre part, le niveau de menace réel/avéré impactant les Systèmes d'Information dont nous avons la charge présente un problème particulièrement compliqué à surmonter : Comment nous assurer et contrôler que notre capacité à conserver un niveau de vigilance élevé est optimal et adapté à nos métiers ?

Heartbleed le 7 avril 2014, Shellshock le 24 septembre, jamais deux sans trois ?

Une première semaine bien calme


Des mises à jour Firefox (3 MFSA critiques) et Thunderbird (3 MFSA critiques) accompagnées de mises à jour sur ma #SqueezeLTS dont le DLA-43-1 (eglibc) le 02.09.14 correspondant au DSA 3012-1 du 27.08.14 corrigeant un CVE qui avait été demandé par @taviso sur OSS-SEC le 29 juillet et des notifications avancées de Microsoft et d'Adobe qui ne s'annoncent pas comme spécialement catastrophiques.

9 septembre 2014 - Patch Tuesday Microsoft, Adobe Flash Player (mais décalage Adobe Reader/Acrobat) et Chrome


Microsoft et Adobe publient leur patch tuesday le 9 septembre 2014. Microsoft publie, entre autres, un bulletin critique (Internet Explorer 6/7/8/9/10/11 qui fixe "one publicly disclosed and thirty-six privately reported vulnerabilities in Internet Explorer"). Adobe fixe, de son côté, des vulnérabilités critiques dans Adobe Flash Player (12 CVE) et annonce le report de la sortie des mises à jour Adobe Reader/Acrobat à la semaine du 15 septembre. Notons aussi que Chrome est mis à jour pour Flash et intègre aussi 4 correctifs de sécurité.

Et cette même semaine survient également le 9 septembre un bulletin de sécurité Vmware pour les "vSphere third party libraries" avec une mise à jour pour Vcenter/ESXi 5.5 mais un "patch pending" pour Vcenter/ESXi 5.0/5.1 (toujours pending le 28 septembre), la correction par le projet FreeBSD le 09.09.14 (FreeBSD-SA-14:18.openssl) du bulletin OpenSSL du 06.08.14 (secadv_20140806), une mise à jour PHP5 chez Ubuntu le 09.09.14 (USN-2344-1 faisant écho au DSA-3008 du 21.08.14), une publication officielle le 10.09.14 du CVE-2013-4444 pour une correction sur Tomcat 7.0 publiée le 09.05.13, une publication d'un nouveau bulletin Vmware le 11.09.14 pour NSX & vCNS et une mise à jour Bind9 chez Debian le 11.09.14 (DSA-3023-1 faisant écho au USN-2081-1 du 13.01.14 et au RHSA-2014:0043-1 du 20.01.14).

Un grand merci à Adobe pour cette annonce concernant le report de la publication Adobe Reader qui permet aux équipes de déclencher les actions appropriées sans se demander si les priorités de leurs plans d'action vont évoluer.

3ème semaine - Séance d'échauffement ?


Oracle publie des correctifs pour Solaris 11.2/11.1/10 le 15.09.14, Adobe publie le 16.09.14 ses nouvelles versions pour Adobe Reader et Acrobat (comme nous nous y attendions) et Ubuntu publie une mise à jour OpenJDK7 le même jour. Le CVE-2014-3616 affectant Nginx fait l'objet d'un DLA le 17.09.14 (<3 #SqueezeLTS, le DSA-3029-1 étant publié trois jours plus tard le 20.09.14), FreeBSD publie le 17.09.14 un bulletin FreeBSD-SA-14:19.tcp mentionannt le CVE-2004-0230 (oui oui 10 ans), Apple publie ses mises à jour OS X Server 2.2.3 / 3.2.1, OS X 10.9.5 et Safari 6.2/7.1 le 17.09.14, Asterisk publie deux bulletins le 18.09.14, PHP annonce ses mises à jour 5.4x et 5.5x le 19.09.14 et Chef annonce des correctifs le même jour, Debian publie le DSA-3030-1 pour MantisBT (avec des correctifs originellement publié le 08.02.14) le 20.09.14 et ... le dimanche 21.09.14 nous permet enfin de nous reposer ou de sortir un peu.

4ème semaine - Le 24 c'est toujours Noël ...


La 4ème semaine s'annonce sympathique avec la publication par la Google Security Team du CVE-2014-6273 "apt-get buffer overflow" (sortie le 23.09 des bulletins DLA-58-1, DSA-3031-1, USN-2353-1) et, le 24.09.14, la publication du CVE-2014-6271 sur #Bash, la publication (coordonnée ?) des correctifs Chrome, Firefox et Thunderbird pour le CVE-2014-1568 (NSS RSA sig) et la publication de 6 bulletins chez Cisco pour IOS (RSVP, SIP, mDNS, DHCPv6, metadata, NAT) ... puis la machine s'emballe autour de ce qui devient #ShellShock et de sa myriade de CVE.

#Bash #ShellShock etc.


Faisons une pause, nous sommes le 24.09.14 en milieu d'après-midi, le CVE-2014-6271 sur #Bash vient de sortir et tous les correctifs sont disponibles. La vulnérabilité est rapidement qualifiée comme critique si exploitée mais les vecteurs d'exploitation sont "flous". Qu'importe le brouillard, l'application des correctifs doit être réalisée sans tarder (ie : nous avons eu Adobe Reader la semaine dernière, Internet Explorer et Chrome la semaine précédente, nous sommes habitués).

Les équipes sont déjà en train de corriger ou d'organiser les recettes fonctionnelles avant déploiement en production et une information tombe en fin d'après-midi : le correctif est incomplet selon @taviso (encore lui! coupez-lui donc l'accès à internet que nous puissions être tranquilles ^^). "Et là c'est le drame" : quelles sont les conséquences ? les impacts ? aucune information et en internet-o-vision, ce qui était une vulnérabilité critique standard devient le nouvel heartbleed^Wshellshock (être baptisé d'un nom effrayant^Wcool étant absolument nécessaire pour que le cirque médiatique^W^Wgrand public soit informé).

Avance rapide d'une journée, nous sommes le 25.09.14 au soir et de nouveaux bulletins corrigeant ce qui est désormais le CVE-2014-7169 sont publiés pour ce #BashRound2 (DSA 3035-1 et USN-2363-1 le 25.09, DLA-63-1, RHSA-2014:1306-1,1311-1,1312-1 le 26.09.14, etc) avec une correction supplémentaire pour deux nouveaux CVE CVE-2014-7186 et CVE-2014-7187.

Et là, le 25.09.14 à minuit, alors que s'approchent les 36 heures de veille après le début de cette crise ... et comme nous l'avait annoncé de manière prémonitoire @helpacsoout le 17 septembre 2014 : "Awake for over 36H because of a breach. Go home and sleep or keep working? WDYD? #ciso #hacsoo" ? ... je pense à tous les mainteneurs qui font ce travail et à tous les sysop qui ont encore de longues nuits à patcher devant eux et qu'on blame à cause de ces problèmes alors qu'ils font souvent tout leur possible pour faire face à ce b0rd3l avec le sourire et je veux faire partie de celles et ceux qui les remercie pour cela <3.

Et le week-end ne s'annonce pas meilleur, de nouveaux problèmes #Bash sont annoncés le 26.09.14 au soir et ce qui devient le CVE-2014-6277 (dont les détails ne sont pas encore connus pour mon article :p) est ouvert le 27.09.14.

Et ma Debian-LTS ?


Pour celles et ceux qui suivent ce projet (inlove), je crois que nous ponvons désormais constater que Debian dispose maintenant d'une vraie distribution LTS avec une publication des correctifs de sécurité dans des délais similaires à la branche stable et un référencement des vulnérabilités totalement adéquat sur security-tracker.debian.org avec la publication de bulletins DLA qui lui sont propres. Et le site lui-même est beau esthétiquement ! Que demander de plus ? :)

Et maintenant ?


Et maintenant, tentons de conclure à contre-courant sur l'actualité de ce mois ?
  • Il y a au moins une différence entre #OpenSSL #HeartBleed et ce #Bash #ShellShock : Avions nous beaucoup d'autre choix que OpenSSL avant HeartBleed ? Vous savez autant que moi ce que OpenBSD puis Google ont décidé de faire pour "résoudre" le "problème".
  • #ShellShock est critique ? Le cumul ce mois-ci de correctifs critiques pour Firefox, Internet Explorer, Chrome, Safari, Adobe Flash, Adobe Reader (entre autres) ne l'est-il pas également (n'oublions pas que client/server-side n'est pas un critère métier) ? Succomber à la fascination de la partie émergée de l'iceberg serait une erreur.
  • #ShellShock vous prend du temps à corriger ? Attention, il vous reste 15 jours avant le patch tuesday Microsoft annoncé pour le 14 octobre 2014 ... accompagné du critical patch update trimestriel de Oracle annoncé le même jour :)

Je me permet de conclure en citant D. Aitel sur dailydave le 26 septembre 2014 (http://seclists.org/dailydave/2014/q3/66) : "This weird dichotomy between things that are vulnerable, and things that are at risk, is a real problem with the bash bug and right now it's being solved with consulting hours for most people. How do you go to the SEC and say "90% of our infrastructure is vulnerable"? Answer: You don't.".

Jess - @JessicaGallante

PS : @helpacsoout et @philoupas : merci ! @Nathplanteur : (kiss).

Aucun commentaire:

Enregistrer un commentaire

Votre avis ?