Posté le janvier 15, 2020 à 9:15
DES CHERCHEURS DÉCOUVRENT UNE IMPORTANTE VULNÉRABILITÉ QUI POURRAIT AFFECTER PLUS DE 200 MILLIONS MODEMS
Des chercheurs ont récemment révélé qu’il existe plus de 200 millions de modems qui seraient vulnérables à des graves attaques de piratage. Selon les chercheurs de Lyrebirds, les attaquants peuvent attirer leurs victimes vers des sites infestés de logiciels malveillants qui utilisent du code JavaScript malveillant.
À partir de là, ils utilisent des méthodes à distance pour accéder aux modems, ce qui permet aux attaquants de modifier les paramètres DNS du modem. La vulnérabilité leur donne également l’invitation à effectuer une série d’autres actions néfastes dans le modem.
Les chercheurs de Lyrebirds ont appelé la vulnérabilité du modem Cable Haunt. La vulnérabilité a été détectée dans différents types de versions de micrologiciel de modems câble, notamment Netgear CG3700EMR, Technicolor TC7230, Sagemcom F@st 3686, Compal 7486E et Compal 7284E.
Étant donné que d’autres modems câble contiennent le serveur d’analyseur de spectre, les hackers peuvent également réussir à explorer d’autres modèles, ont déclaré les chercheurs. L’attaque par preuve de concept de Lyrebird a fonctionné contre le Sagemcom F@st 8690 et les modems Technicolor TC7230. Avec quelques modifications, le code d’attaque pourrait également fonctionner sur d’autres modèles de modem.
Une vulnérabilité donne aux hackers un contrôle total
Selon les chercheurs de Lyrebirds, cette vulnérabilité permet aux hackers d’accéder à distance via un point d’extrémité sur le modem vulnérable. Les chercheurs ont expliqué que le modem câble est le garant du trafic Internet de tous les appareils du réseau. Par conséquent, les pirates peuvent exploiter Cable Haunt pour faire partie de réseaux de zombies, rediriger le trafic et intercepter des messages privés.
Les hackers ont deux options pour accéder
Les chercheurs ont expliqué que les hackers pouvaient accéder à distance au modem de deux manières différentes. La première et la plus simple consiste à utiliser du JavaScript malveillant, qui impose une connexion automatique au navigateur. Généralement, un protocole, appelé «partage de ressources entre origine multiple», empêche une application Web de se connecter directement à une autre application Web d’une origine différente.
Cependant, les Websockets ne sont pas soutenus par ce protocole, ce qui signifie que les modems ne sont pas en mesure d’empêcher le JavaScript de se connecter. Cela permet aux attaquants d’accéder facilement au modem pour lancer leur code.
Cable Haunt accède généralement aux modems via un navigateur. Cependant, l’attaque malveillante pourrait provenir de n’importe quelle section lorsque le code parvient à l’IP sur le réseau local. L’attaque ne fonctionne pas lorsque les cibles sensibles utilisent Firefox, car les WebSockets utilisés par l’analyseur de spectre ne sont pas compatibles avec le WebSocket utilisé par le navigateur.
Cependant, il est toujours possible pour les attaquants d’attaquer à distance via un JavaScript. Le JavaScript peut être utilisé pour faire évoluer les restrictions via ce qui est généralement appelé une attaque par DNS rebinding, qui modifie les tables DNS au sein du réseau local. Étant donné que l’adresse de domaine du site de l’attaque est liée à l’IP du modem exposé, le JavaScript sera en mesure de mener à bien l’attaque.
En dehors du débordement de la mémoire tampon, l’attaquant a réussi grâce aux informations d’identification par défaut qu’il a utilisées pour attaquer les modems. Les informations d’identification par défaut sont généralement incluses dans l’URL utilisée par l’attaquant.
Autres méthodes que l’attaquant pourrait explorer
Kasper Tendrup, un co-fondateur de Lyrebirds, a souligné que les hackers pouvaient explorer d’autres options et réussir l’attaque.
Selon lui, le protocole de preuve de concept peut utiliser d’autres méthodes pour travailler sur le modem. Cependant, le code d’attaque doit s’identifier avec l’adresse mémoire exacte du code sensible. Ceci est dû à la structure mémoire de l’assembleur MIPS, qui exécute la couche de spectre.
Cable Haunt utilise une programmation orientée retour pour évoluer à travers les restrictions imposées par la structure de la mémoire. Il parcourrait les codes existants et développerait un patchwork à partir du code.
Une fois que l’attaquant a réussi à exploiter la vulnérabilité, il installe un shell inversé en envoyant des commandes au serveur Telnet du modem vulnérable. Après avoir obtenu l’accès, l’attaquant pourrait faire beaucoup de choses. Ils auraient accès à l’installation d’un micrologiciel entièrement nouveau, à la modification des paramètres DNS, ainsi qu’au filtrage de toutes les données chiffrées qui transitent par le modem. L’attaquant pourrait avoir un contrôle total sur le modem.
Les chercheurs de Lyrebirds ont déclaré que la vulnérabilité pourrait toucher plus de 200 millions de modems en Europe. Selon les chercheurs, l’attaque pourrait également fonctionner sur plusieurs millions d’autres modems dans le monde.
Le pire est le fait qu’un utilisateur moyen ne serait pas en mesure de déterminer si son modem est vulnérable ou non. Selon les chercheurs, il leur faudrait exécuter du code POC sur le modem, ce qui n’est pas possible pour un utilisateur moyen.
