Entreprise informatique 1ClicD'Avance Savoie Haute Savoie Suisse

Les dispositifs ont de graves lacunes qui permettent un accès distant non autorisé et de détournement de DNS, un chercheur trouvé

Plus de 700 000 routeurs ADSL fournis aux clients par les FAI dans le monde contiennent de graves lacunes qui permettent les pirates de prendre le contrôle à distance d’eux.

La plupart des routeurs ont un « directory traversal » faille dans un composant appelé firmware webproc.cgi qui permet aux pirates d’extraire des données de configuration sensibles, y compris les informations d’identification administratives. La faille ne est pas nouvelle et a été rapportée par plusieurs chercheurs depuis 2011 dans divers modèles de routeur .

Le chercheur en sécurité Kyle Lovett est tombé sur la faille il ya quelques mois dans certains routeurs ADSL, il a été l’analyse dans ses temps libres. Il a enquêté plus loin et déterré des centaines de milliers de périphériques vulnérables de différents fabricants qui ont été distribués par les FAI aux abonnés d’Internet dans une douzaine de pays.

La vulnérabilité de traversée de répertoire peut être utilisé par des attaquants non-authentifiés afin d’extraire un fichier sensible appelé config.xml, qui est sur la plupart des routeurs touchés et contient leurs paramètres de configuration.

Le fichier contient également les mots de passe hachés pour l’administrateur et les autres comptes sur l’appareil; le nom d’utilisateur et mot de passe pour la connexion FAI de l’utilisateur (PPPoE); les clients et les serveurs d’identification pour le TR-069 protocole de gestion à distance utilisé par certains fournisseurs de services Internet; et le mot de passe pour le réseau sans fil configuré, si le dispositif a des capacités Wi-Fi.

Selon Lovett, l’algorithme de hachage utilisé par les routeurs est faible pour les mots de passe hachés peuvent facilement être cassées. Les attaquants pourraient alors se connecter en tant qu’administrateur et modifier les paramètres DNS d’un routeur.

En contrôlant les serveurs DNS utilisent les routeurs, les attaquants peuvent diriger les utilisateurs vers les serveurs voyous quand ils tentent d’accéder à des sites Web légitimes. Grands détournement de DNS attaques contre les routeurs, appelés routeur pharming, sont devenus monnaie courante au cours des deux dernières années.

Sur certains appareils, le téléchargement du fichier config.xml ne exige même pas un défaut de traversée de répertoire; tout en sachant l’URL correcte à son emplacement est assez, dit Lovett.

La plupart des routeurs ont des défauts supplémentaires. Par exemple, environ 60 pour cent ont un compte d’appui caché avec un facile à deviner le mot de passe codé en dur qui est partagé par tous. Certains appareils ne ont pas la traversée de répertoire faille mais ont ce compte porte dérobée, Lovett dit.
Pour environ un quart des routeurs, il est également possible d’obtenir à distance un aperçu de leur mémoire active, connu comme un vidage de la mémoire. Ce est mauvais parce que la mémoire de ces dispositifs peut contenir des informations sensibles sur le trafic Internet qui passe par eux, y compris les informations d’identification pour divers sites Web en texte brut.

En analysant plusieurs vidages mémoire, Lovett a trouvé des signes que les routeurs étaient déjà sondé par des attaquants, la plupart du temps à partir des adresses IP en Chine.

La plupart des appareils vulnérables qu’il a identifiés sont les modems ADSL avec fonctionnalité de routeur qui ont été fournis par les FAI aux clients en Colombie, l’Inde, l’Argentine, la Thaïlande, la Moldavie, l’Iran, le Pérou, le Chili, l’Égypte, la Chine et l’Italie. Quelques-uns ont également été trouvés aux États-Unis et d’autres pays, mais ils semblaient être des dispositifs off-the-shelf, ne sont pas distribués par les FSI.

Lovett a trouvé les routeurs vulnérables à travers Internet, analyse et en utilisant SHODAN, un moteur de recherche spécialisé pour les appareils connectés à Internet. Selon lui, 700 000 est une estimation prudente, qui ne couvre dispositifs qui peuvent être ciblées à distance parce qu’ils ont leurs interfaces d’administration Web exposés à Internet.

Il ya probablement beaucoup plus de dispositifs qui ont les mêmes défauts, mais ne sont pas configurés pour la gestion à distance. Ceux-ci peuvent être attaqués de l’intérieur des réseaux locaux, de l’exemple par des logiciels malveillants ou par Cross-Site Request Forgery (CSRF), une technique pour détourner le navigateur d’un utilisateur pour effectuer des actions non autorisées.

Les modèles d’appareils touchés comprennent ZTE H108N et H108NV2.1; D-Link 2750E, 2730E et 2730U; Sitecom WLM-3600, WLR-6100 et WLR-4100; FiberHome HG110; Planète ADN-4101; Digisol DG-BG4011N; et Observa Telecom BHS_RTA_R1A. Autres dispositifs vulnérables avaient été marque pour les FAI spécifiques et leur véritable marque ou le numéro de modèle n’a pas pu être déterminée.

Cependant, Lovett trouvé un point commun: la grande majorité des routeurs touchés couraient firmware développé par une société chinoise appelée Shenzhen Gongjin Electronics , qui fait également affaires sous la marque T & W.

Shenzhen Gongjin Electronics est un OEM (original equipment manufacturer) et ODM (fabricant de conception originale) pour réseautage et de télécommunications produits. Elle fabrique des dispositifs basés sur ses propres spécifications, aussi bien sur les spécifications d’autres sociétés.

Selon une recherche sur WikiDevi , une base de données en ligne de matériel informatique, Shenzhen Gongjin Electronics est répertorié comme fabricant pour périphériques réseau à partir d’un grand nombre de fournisseurs, y compris D-Link, Asus, Alcatel-Lucent, Belkin, ZyXEL et Netgear. Il ne est pas clair combien de périphériques répertoriés également exécuter firmware développé par la société qui pourrait contenir les vulnérabilités identifiées par Lovett.

Il est également difficile de savoir si Shenzhen Gongjin Electronics est conscient des défauts ou si elle a déjà distribué versions corrigées du firmware à ses partenaires.

La société n’a pas répondu à une demande de commentaire et selon Lovett, ses tentatives pour informer la société est restée sans réponse ainsi.

Le chercheur a également informé les fournisseurs concernés de l’appareil qu’il a réussi à identifier, ainsi que l’équipe de préparation en cas d’urgence informatique États-Unis (US-CERT).

Il a révélé certaines de ses conclusions mercredi lors d’une conférence sur la sécurité au Royaume-Uni dans le cadre d’une plus grande présentation sur SOHO appareils embarqués vulnérables – les routeurs, les appareils de stockage en réseau, des caméras IP, etc. L’exposé a été axé sur la recherche qui a constaté que plus de 25 millions d’appareils SOHO sont exposés à des attaques provenant d’Internet en raison de références par défaut et d’autres vulnérabilités bien connues.

Vécu chez un de mes clients sur un modem d-Link !!! Les DNS se sont vu changer par ceux-ci… 62.210.211.92 and 8.8.4.4.

Une vulnérabilité trouvée dans un modèle de routeur DSL de D-Link permet aux pirates télécommande pour changer son (Domain Name System) paramètres DNS et détournent le trafic des utilisateurs. La question pourrait également affecter d’autres appareils car il est situé dans un firmware populaire utilisé par les différents fabricants, selon un chercheur en sécurité.

Une preuve de concept exploit a été publié mardi pour le modèle D-Link DSL-2740R, un / dispositif de routeur sans fil à double fonction modem ADSL, qui selon le site de support D-Link a été éliminée. Cela signifie que l’appareil ne est plus vendu, mais pourrait encore bénéficier d’un soutien se ils sont couverts par la garantie.

L’exploit a été créé par Todor Donev, membre d’une tenue de recherche sur la sécurité bulgare appelé Ethical Hacker, qui prétend que plusieurs dispositifs de D-Link et d’autres fabricants pourraient être affectés.

La vulnérabilité est réellement dans ZyNOS, un firmware du routeur développé par ZyXEL Communications qui est utilisé dans les produits de plusieurs fabricants d’équipement de réseautage, y compris D-Link, TP-LINK Technologies et ZTE, Donev dit par courriel.

Les attaquants ne ont pas besoin d’avoir accès informations d’identification pour les appareils concernés afin d’exploiter la vulnérabilité, mais ne doivent être en mesure d’atteindre leurs interfaces d’administration Web, at-il dit.

Si l’interface d’administration est exposé à Internet – routeurs sont parfois configurées de cette façon pour l’administration à distance – le risque d’exploitation est plus élevé. Mais même si ce est seulement accessible depuis le réseau local, les pirates peuvent toujours utiliser cross-site Request Forgery (CSRF) techniques pour atteindre l’interface d’un routeur.

www.computerworld.com/article/2876292/dns-hij