Posté le juin 20, 2019 à 20:45
IBM X-FORCE RÉVÈLE UNE VULNÉRABILITÉ CRITIQUE DANS LES AMPLIFICATEURS WIFI TP-LINK
La vulnérabilité zero-day critique a été découverte dans les amplificateurs Wi-Fi conçus par la société TP-Link. Cette vulnérabilité pourrait permettre aux acteurs malveillants d’exécuter du code à distance sur le périphérique d’une victime.
Les modèles concernés incluent les périphériques RE365, RE650, RE350 et RE500 exécutés sur le micrologiciel 1.0.2 (version 20180213). Le problème a été découvert par des chercheurs en sécurité du laboratoire X-Force d’IBM et a été révélé dans un blog mardi.
Les entreprises et les particuliers menacés
Ces appareils sont tellement utiles que les particuliers et les entreprises les utilisent beaucoup. Ils sont employés pour se débarasser des trous noirs dans la gamme Wi-Fi dans les maisons et les entreprises dans le monde entier. Les amplificateurs fonctionnent en captant le signal d’un routeur, puis en l’amplifiant pour améliorer la couverture d’un réseau existant.
Le problème avec cet appareil, comme avec tout autre ordinateur connecté à Internet, est qu’il peut être détourné par des acteurs malveillants afin d’obtenir un accès distant à un système et de le pirater. Une utilisation particulière de cette vulnérabilité permet aux acteurs malveillants d’exécuter du code à distance.
Les amplificateurs Wi-Fi de TP-Link utilisent l’architecture MIPS, ce qui signifie que la vulnérabilité peut être déclenchée de la manière suivante. L’attaquant abuse d’un champ d’agent utilisateur malformé dans les en-têtes HTTP lors de l’envoi de demandes, ce qui exploite à son tour le périphérique et lui permet d’exécuter des commandes shell.
Grzegorz Wypychmembers, chercheur chez IBM, explique que le bug peut être utilisé pour accéder à distance à l’amplificateur sans nécessiter d’authentification. Cela permet aux attaquants de pirater l’appareil et d’obtenir un contrôle total sur celui-ci.
Preuve de concept d’une équipe de recherche utilisant un Amplificateur RE365 Wi-Fi
L’équipe de X-Force a pu se connecter à un périphérique RE365, en utilisant le port TCP numéro 4444 pour obtenir un accès root au shell. Tout cela a été réalisé sans qu’il soit nécessaire de faire une attaque supplémentaire d’escalade de privilèges au cours du processus d’infection. Cela est dû au fait que tous les processus en cours d’exécution sur l’appareil ont été exécutés avec un accès de niveau root en standard.
Il a poursuivi en disant qu' »exécuter le root par défaut est assez risqué parce que quiconque pourrait compromettre le périphérique pourrait effectuer n’importe quelle action sur lui ». Il a ensuite ajouté que sa première idée était une attaque de type Mirai sur des appareils IdO où des scripts distants pourraient être exécutés en tant que root si la vulnérabilité était exploitée de cette manière.
TP-Link a mis à jour le logiciel, des correctifs sont disponibles pour chacun des périphériques compromis et sont disponibles sur le site Web de TP-Link. La société n’a fait aucune déclaration concernant la vulnérabilité découverte.
Les chercheurs en sécurité ont été surpris par le calme manifesté à cet égard par TP-Link et beaucoup sont à juste titre en colère contre l’entreprise pour avoir permis qu’une telle vulnérabilité puisse avoir lieu.
Selon de nombreuses sources, il est similaire au bug de support à distance de Dell qui a affecté tous les ordinateurs de la société. Ils avaient installé leur logiciel propriétaire pour le dépannage et fonctionnait par défaut en tant qu’administrateur. Cela a permis aux acteurs menaçants d’abuser du logiciel lors d’une attaque sophistiquée exposant chaque ordinateur portable Dell à une visualisation à distance et à des piratages.
Dell est un grand fournisseur d’ordinateurs portables et de nombreuses entreprises étaient mécontentes de l’attitude laxiste en matière de sécurité de Dell. TP-Link se trouve dans une situation similaire car il existe de nombreux amplificateurs dans les sièges sociaux des entreprises aux États-Unis.
Chaque fois que TP-Link publiera sa déclaration, on s’attendra à ce qu’il dise ce qu’il décide de faire à partir de maintenant en ce qui concerne l’exécution de tous les processus comme le root par défaut. Si l’entreprise ne présente pas un plan pour changer ses façons de procéder, elle pourrait perdre beaucoup d’affaires à long terme.