700 000 routeurs adsl vulnérables au piratage dans le monde - Actualités RT Infrastructure

700 000 routeurs adsl vulnérables au piratage dans le monde

le 23/03/2015, par Didier Barathon, Infrastructure, 701 mots

Une poignée de constructeurs identifiés, une douzaine de pays concernés à travers leur FAI, le piratage de modems adsl mis à jour par Kyle Lovett est conséquent. Se comportant en véritable limier il a même détecté le fabricant d'OEM chinois à l'origine selon lui des appareils piratables.

700 000 routeurs adsl vulnérables au piratage dans le monde

La plupart des routeurs sont vulnérables, ils comportent une faille « directory traversal » (traversée du répertoire) dans un composant de leur firmware appelé webproc.cgi qui permet aux hackers d'extraire des données de configuration sensibles. Cette faille n'est pas nouvelle, depuis 2011, plusieurs chercheurs l'ont repéré dans différents modèles de routeurs.
L'un d'eux, Kyle Lovett, est à son tour tombé sur cette faille il y a quelques mois. Mais, pendant son temps libre, il  a cherché à aller plus loin et a pu observer que des centaines de milliers de routeurs étaient vulnérables, venant de différents fabricants et distribués par des FAI d'une douzaine de pays.  Cette vulnérabilité dans l'accès au répertoire peut être utilisée par des attaquants non-authentifiés qui veulent extraire un fichier sensible appelé config.xml, installé  sur la plupart des routeurs touchés et contient leurs paramètres de configuration.

Un fichier très vulnérable

Le fichier contient également : les mots de passe hachés pour l'administrateur et les autres comptes sur le terminal, le nom de l'utilisateur et le mot de passe pour la connexion de l'utilisateur au FAI (PPPoE), les clients et les serveurs d'identification pour le protocole TR-069 de gestion à distance utilisé par certains fournisseurs de services Internet, enfin le mot de passe pour le réseau sans fil configuré, si le dispositif a des capacités Wi-Fi.

Selon Kyle Lovett, l'algorithme de hachage utilisé par les routeurs est faible, les mots de passe hachés peuvent être facilement cassés. Les attaquants pourraient alors se connecter en tant qu'administrateur et modifier les paramètres DNS d'un routeur. En contrôlant les serveurs DNS utilisant les routeurs, les attaquants peuvent diriger les utilisateurs vers des serveurs voyous quand ils tentent d'accéder à des sites Web légitimes. Le grand détournement d'attaques DNS contre les routeurs, appelées routeur pharming, est devenu monnaie courante au cours des deux dernières années.

Une faille sous forme porte dérobée

Sur certains terminaux, le téléchargement du fichier config.xml n'exige même pas un défaut de traversée du répertoire, explique Kyle Lovett. La plupart des routeurs ont des défauts supplémentaires. Par exemple, environ 60% d'entre eux  disposent d'un compte d'appui caché avec un accès facile à deviner. Certains terminaux n'ont pas de faille dans l'accès au répertoire mais, en revanche, présentent cette faille sous forme de porte dérobée.

Pour environ un quart des routeurs, il est également possible d'obtenir à distance un aperçu de leur mémoire active. C'est grave dans la mesure où la mémoire de ces appareils peut contenir des informations sensibles sur le trafic Internet qui passe par eux, y compris des informations d'identification pour divers sites Web en texte brut. En analysant plusieurs vidages de mémoire, Kyle Lovett a trouvé des signes que les routeurs étaient déjà sondés par des attaquants, la plupart du temps à partir des adresses IP en Chine.

La liste des routeurs concernés

La plupart des appareils vulnérables qu'il a identifiés sont les modems ADSL avec fonctionnalité de routeur qui ont été fournis par les FAI aux clients en Colombie, Inde, Argentine, Thaïlande, Moldavie, Iran, Pérou, Chili, Égypte, Chine et Italie. Quelques-uns ont également été trouvés aux États-Unis et dans d'autres pays Les modèles d'appareils touchés comprennent : les ZTE H108N et H108NV2.1; D-Link 2750E, 2730E et 2730U; Sitecom WLM-3600, WLR-6100 et WLR-4100; FiberHome HG110; Planète ADN-4101; Digisol DG-BG4011N; et Observa Telecom BHS_RTA_R1A.

La grande majorité des routeurs touchés possédaient un firmware développé par une société chinoise appelée Shenzhen Gongjin Electronics, également connue sous la marque T&W. Shenzhen Gongjin Electronics est un OEM (original equipment manufacturer) et ODM (fabricant de conception originale) pour les produits réseaux et télécoms. Elle fabrique des appareils basés sur ses propres spécifications, aussi bien que sur les spécifications d'autres sociétés. Selon une recherche menée sur WikiDevi, une base de données en ligne de matériel informatique, Shenzhen Gongjin Electronics est répertorié comme fabricant de périphériques réseau à partir d'un grand nombre de fournisseurs, y compris D-Link, Asus, Alcatel-Lucent, Belkin, ZyXEL et Netgear.

Les États-Unis blacklistent 5 constructeurs de supercalculateurs...

Les entreprises américaines n'ont plus le droit de faire des affaires avec les entreprises sur liste noire. L'administration Trump a pris d'autres mesures contre la Chine, notamment l'ajout de plusieurs...

le 24/06/2019, par Mark Hachman, PC World (adaptation Jean Elyan), 663 mots

Avec le rachat de Cray, HPE renforce ses offres HPC en tant que...

En adossant ses offres de calcul haute performance à des supercalculateurs Cray, HPE pourra proposer des services d'intelligence artificielle, de trading financier haute fréquence et de création de jumeaux...

le 20/05/2019, par Tim Greene / Network World (adapté par Jean Elyan), 595 mots

Fujitsu veut produire le premier supercalculateur exascale ARM

Fujitsu et le Riken Advanced Institute for Computational Science ont annoncé l'achèvement du design de leur supercalculateur exascale Post-K tournant sur processeurs ARM. Le constructeur japonais espère...

le 09/05/2019, par Andy Patrizio, Network World (adapté par Jean Elyan), 501 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...