En ce mois d'août 2019, les clients OVH en serveur dédié ont reçu (et continuent de recevoir) un mail leur signalant qu'une faille de sécurité a été découverte dans RTM et qu'il convient de faire une mise à jour. Le mail en question provient de OVH info <noreply@ovh.com>, il est formaté en HTML et porte les marques d'OVH, SoyouStart ou encore Kimsufi en fonction des serveurs concernés.
Voici à quoi il ressemble :
Chère cliente, cher client,
En tant qu’utilisateur d’un ou plusieurs serveurs dédiés SYS, vous avez la possibilité de déployer lors de l’installation le composant Real Time Monitoring (RTM) développé par nos équipes pour monitorer vos machines.
Un chercheur en sécurité a mis en évidence une vulnérabilité mineure sur l’ancienne version de l’outil de monitoring RTMv1, déployable sur les serveurs dédiés Linux SYS.
Cette vulnérabilité permet à un utilisateur non privilégié (sans accès à l’utilisateur « root »), mais ayant déjà un accès au serveur, d’écraser arbitrairement n’importe quel fichier du système, via une chaîne de caractères générée par RTMv1.
À notre connaissance, celle-ci n’a pas encore été exploitée. En outre, il n'est pas possible pour un attaquant de récupérer des données.
Pour information, une nouvelle version du composant RTM (RTMv2), non concernée par cette faille, est déployée pour les nouvelles installations de serveur Linux depuis le 28 janvier 2019 en Europe et depuis le 10 avril 2019 dans l’ensemble de nos datacenters.
Certains de vos services utilisent toujours l’ancienne version de ce composant :
12.34.56.78,98.76.54.32
Nous vous recommandons vivement d’effectuer la mise à jour vers RTMv2 afin de protéger vos services. En cas de besoin, un guide est disponible.
Ce message n'est pas une plaisanterie, il y a effectivement une faille à corriger sur vos serveurs, mais pas de panique pour autant. Voici quelques éléments pour mieux vous aider à comprendre de quoi il retourne.
RTM, cékoidon ?
RTM est un petit logiciel made in OVH qui est installé par défaut sur tous les serveurs dédiés. Absolument tous (sous Linux) et sous toutes les marques ... c'est à dire énormément de serveurs et c'est probablement la raison pour laquelle OVH a décidé de communiquer massivement sur le sujet. Ce petit programme tourne en tâche cron et sert à remonter des informations sur le fonctionnement des serveurs vers le manager OVH (ou SoyouStart ou Kimsufi) pour que ce dernier puisse afficher les bonnes informations concernant les machines. C'est donc assez anodin et la plupart des utilisateur ne savent même pas que cela existe ou bien en ont une idée très vague.
Et donc il y a une faille ?
Oui, comme expliqué dans le mail, un utilisateur malveillant peut se servir des versions anciennes d'RTM pour détruire des fichiers.
Il faut corriger ça d'urgence ?
Oui et non. C'est un problème de sécurité réel, il faut donc le traiter. Mais pas d'affolement non plus : il s’agit d’une faille qui n’est exploitable que par des personnes qui sont à la fois initiées, mal intentionnées et qui ont déjà accès au serveur via un utilisateur système. Le risque d’acte malveillant est donc globalement faible (sauf si vous hébergez sur vos serveurs des personnes peu scrupuleuses).
Mon serveur est en infogérance, est-il à jour ?
Oui, tous les serveurs qui sont infogérés par Syrelis, quel que soit le niveau d'infogérance, ont été patchés depuis le début du mois d'août.
Mon serveur a été mis à jour mais je continue de recevoir des mails d'OVH !
C'est là que ça devient rigolo ... mais rassurez-vous, vous n'êtes pas le (la) seul(e). En effet, peu importe si leurs serveurs sont à jour ou non, les clients OVH, SoyouStart et Kimsufi continuent de recevoir des mails au sujet de cette faille les invitant à mettre à jour leurs serveurs (et ces mails sont en plus assortis des adresses IP des serveurs concernés). De plus, le manager continue lui aussi d'afficher "RTM v 1.x.x" lorsqu’on affiche les infos des serveurs. Tout semble donc indiquer que les serveurs ne sont pas à jour ... même s'ils le sont. J'ai passé pas mal de temps au bout du fil avec le support OVH à ce sujet : les serveurs qui ont été mis à jour retournent bien des informations RTMv2 et ne présentent plus de failles (les techniciens du support peuvent le vérifier cela manuellement dans leur outil), c'est "juste" le manager qui bugue et qui affiche des informations erronées.
Comment savoir si mon serveur est vraiment à jour ?
Une manière rapide et simple : vérifier que le dossier /usr/local/rtm est bel et bien absent de votre serveur. Si c'est le cas, ce dernier a toutes les chances d'être à jour.
Et si vous souhaitez vraiment en avoir le coeur net, je vous invite à contacter vous aussi le support (de préférence par téléphone, c'est plus efficace) pour demander si le serveur concerné remonte bien des infos RTMv2. Le technicien que vous aurez alors au bout du fil pourra vous confirmer que votre serveur ne remonte plus aucune info RTMv1 et, par conséquent, a bel et bien fait l'objet d'une mise à jour.