La plupart des internautes connaissent le concept de mise à jour des logiciels qui résident sur leurs ordinateurs. Mais la semaine dernière, des alertes ont été signalées concernant un nombre inhabituel de vulnérabilités et d’attaques contre certains périphériques matériels importants et omniprésents, des routeurs Internet grand public, des produits de stockage de données et de domotique aux solutions de sécurité de classe entreprise.
La semaine dernière, le Centre de tempête Internet SANS a commencé à publier des données sur une attaque en cours de logiciels malveillants auto-propagés qui infectent certains routeurs sans fil domestiques et de petites entreprises à partir de Linksys. Le pare-feu intégré aux routeurs peut être une première ligne de protection utile et solide contre les attaques en ligne, car son travail consiste à filtrer le trafic entrant que l’utilisateur derrière le pare-feu n’a pas lancé. Mais les choses deviennent plus compliquées lorsque les utilisateurs activent la fonction d’administration à distance sur ces appareils puissants, et c’est là que ce malware entre en jeu.
Le ver – surnommé « The Moon » – contourne l’invite de nom d’utilisateur et de mot de passe sur les appareils concernés. D’après Ars Technica Dan Goodin, The Moon a infecté près de 1 000 routeurs Linksys E1000, E1200 et E2400, bien que le nombre réel d’appareils piratés dans le monde puisse être plus élevé et susceptible d’augmenter. En réponse, Linksys a déclaré que le ver affectait uniquement les appareils sur lesquels la fonction d’accès à la gestion à distance est activée, et que Linksys expédie ces produits avec cette fonctionnalité désactivée par défaut. L’Ars Technica récit comprend plus d’informations sur la façon de savoir si votre routeur peut être impacté. Linksys dit qu’il travaille sur un correctif officiel pour le problème, et en attendant, les utilisateurs peuvent bloquer cette attaque en désactivant la fonction de gestion à distance du routeur.
De même, il apparaît que certains Routeurs ASUS – et tous les périphériques de stockage qui y sont connectés – peuvent être exposés à n’importe qui en ligne sans avoir besoin d’informations d’identification de connexion si les utilisateurs ont profité des fonctionnalités d’accès à distance intégrées aux routeurs, selon cette pièce d’Ars à partir du 17 février. Le danger dans ce cas concerne les modèles de routeurs Asus, y compris RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, RT-AC56U, RT-N56R, RT-N56U, RT-N14U, RT-N16, et RT-N16R. L’activation de l’une des options « AiCloud » (désactivées par défaut) sur les appareils – telles que « Cloud Disk » et « Smart Access » – ouvre une boîte de vers potentiellement désordonnée. Plus de détails sur cette vulnérabilité sont disponibles sur cet article sur SecurityFocus.
Asus rapportéy a publié des mises à jour du firmware la semaine dernière pour résoudre ces bogues. Les utilisateurs concernés peuvent trouver les dernières mises à jour du micrologiciel et les instructions pour mettre à jour leurs appareils en saisissant le nom/numéro de modèle de l’appareil ici. Vous pouvez également envisager de supprimer le micrologiciel du routeur d’origine au profit de quelque chose de plus flexible, moins bogué et probablement plus sécurisé (voir cette section à la fin de cet article pour plus de détails).
VOTRE INTERRUPTEUR D’ÉCLAIRAGE FAIT QUOI ?
Commutateur Belkin WeMo
Équiper une maison ou un bureau d’outils domotiques qui vous permettent de contrôler et de surveiller à distance l’électronique peut rapidement se transformer en un passe-temps amusant et addictif (si coûteux). Mais les choses deviennent un peu plus intéressantes lorsque toute la configuration est complètement exposée à quiconque sur Internet. C’est essentiellement ce que les experts de IOActive trouvé est le cas avec Belkinc’est Famille WeMo d’appareils domotiques.
Selon une étude publiée aujourd’hui, de multiples vulnérabilités dans ces outils WeMo Home Automation permettent aux pirates malveillants de contrôler à distance les appareils via Internet, d’effectuer des mises à jour de micrologiciels malveillants et d’accéder à un réseau domestique interne. De chez IOActive consultatif (PDF):
Les images du micrologiciel Belkin WeMo utilisées pour mettre à jour les appareils sont signées avec un cryptage à clé publique pour se protéger contre les modifications non autorisées. Cependant, la clé de signature et le mot de passe sont divulgués sur le micrologiciel déjà installé sur les appareils. Cela permet aux attaquants d’utiliser la même clé de signature et le même mot de passe pour signer leur propre micrologiciel malveillant et contourner les contrôles de sécurité pendant le processus de mise à jour du micrologiciel.
De plus, les appareils Belkin WeMo ne valident pas les certificats Secure Socket Layer (SSL), ce qui les empêche de valider les communications avec le service cloud de Belkin, y compris le flux RSS de la mise à jour du micrologiciel. Cela permet aux attaquants d’utiliser n’importe quel certificat SSL pour se faire passer pour les services cloud de Belkin et pousser les mises à jour de micrologiciels malveillants et capturer les informations d’identification en même temps. En raison de l’intégration du cloud, la mise à jour du micrologiciel est transmise au domicile de la victime, quel que soit l’appareil jumelé qui reçoit la notification de mise à jour ou son emplacement physique.
L’infrastructure de communication Internet utilisée pour communiquer avec les appareils Belkin WeMo est basée sur un protocole abusé qui a été conçu pour être utilisé par les services Voice over Internet Protocol (VoIP) afin de contourner les restrictions de pare-feu ou NAT. Il le fait d’une manière qui compromet la sécurité de tous les appareils WeMo en créant un darknet WeMo virtuel auquel tous les appareils WeMo peuvent être connectés directement ; et, avec quelques suppositions limitées d’un « numéro secret », contrôlé même sans l’attaque de mise à jour du micrologiciel.
Il ne semble pas que quelqu’un ou quoi que ce soit s’attaque à ces vulnérabilités – pour le moment. Mais d’où je suis assis, la partie la plus effrayante de ces défauts est le silence apparent et l’inaction de Belkin en réponse aux recherches d’IOActive. En effet, selon un avis connexe publié aujourd’hui par Institut de génie logiciel de l’Université Carnegie MellonBelkin n’a fourni aucun type de solution ou de contournement pour les défauts identifiés, même s’il en a été informé pour la première fois en octobre 2013. Soyez donc prévenu : les produits WeMo de Belkin peuvent vous permettre de contrôler vos appareils électroniques domestiques à distance, mais vous n’est peut-être pas le seul à les contrôler.
Mise à jour, 22 h 24 HE : Belkin a répondu par une déclaration indiquant qu’il était en contact avec les chercheurs en sécurité avant la publication de l’avis et, au 18 février, avait déjà publié des correctifs pour chacune des vulnérabilités potentielles notées via des notifications et des mises à jour intégrées. Belkin note que les utilisateurs disposant de la version la plus récente du micrologiciel (version 3949) ne courent aucun risque d’attaques de micrologiciels malveillants ou de contrôle à distance ou de surveillance des appareils WeMo à partir d’appareils non autorisés. Belkin invite ces utilisateurs à télécharger la dernière application depuis l’App Store (version 1.4.1) ou Google Play Store (version 1.2.1), puis à mettre à niveau la version du micrologiciel via l’application.
Histoire originale :
STOCKAGE RÉSEAU ATTAQUÉ
Comme en témoignent les vulnérabilités ASUS et Linksys mentionnées ci-dessus, un nombre croissant d’internautes profitent des fonctionnalités d’accès à distance des routeurs et des périphériques de stockage en réseau (NAS) pour accéder à distance à leurs fichiers, photos et musique. Mais percer un trou dans votre réseau pour permettre l’accès à distance aux systèmes NAS peut mettre en danger votre réseau interne et vos données si et quand de nouvelles vulnérabilités sont découvertes dans ces appareils.
Un fournisseur populaire de périphériques NAS — Synologie – a récemment alerté les utilisateurs d’une mise à jour de sécurité qui corrige une vulnérabilité pour laquelle il y a eu un exploit public depuis décembre qui permet aux attaquants de compromettre les machines à distance. Un certain nombre d’utilisateurs de Synology ont récemment se sont plaints que les processeurs de leurs appareils atteignaient constamment un maximum de 100 % d’utilisation. Un utilisateur dit qu’il a tracé le problème retour au logiciel que les intrus avaient laissé sur son appareil Synology RackStation qui a transformé l’ensemble de sa baie de stockage réseau en un appareil géant pour extraire des Bitcoins.
Selon un avis que Synology a envoyé lundi par e-mail aux utilisateurs enregistrés, parmi les nombreux signes peu subtils d’un NAS compromis, citons :
- Un dossier partagé créé automatiquement avec le nom « startup », ou un dossier non-Synology apparaissant sous le chemin « /root/PWNED »
- Des fichiers avec des noms sans signification existent sous le chemin « /usr/syno/synoman »
- Les fichiers de script non-Synology, tels que « S99p.sh », apparaissent sous le chemin de « /usr/syno/etc/rc.d »
Synology invite les clients dont le matériel présente le comportement mentionné ci-dessus à suivre les instructions ici et réinstallez le logiciel de gestion de la station de disque sur les périphériques, en veillant à mettre à niveau vers la dernière version. Pour les utilisateurs qui n’ont pas encore rencontré de problèmes, Synology recommande de mettre à jour vers la dernière version, en utilisant le mécanisme de mise à jour intégré de l’appareil.
INFECTION DU POINT FINAL SYMANTEC ?
Bien qu’elles ne soient pas strictement liées au matériel, d’autres découvertes récentes de vulnérabilités doivent également être classées sous la rubrique « Hé, je pensais que ce truc était censé protéger mon réseau ! département est de nouvelles recherches sur plusieurs failles de sécurité graves dans Symantec Endpoint Protection Manager — un système de protection contre les intrusions basé sur l’hôte et un produit anti-malware conçu pour être utilisé par les entreprises à la recherche d’une solution gérée de manière centralisée.
Source : SANS ISC
Dans un avis publié aujourd’huisociété de sécurité autrichienne Consultation SEC a averti que les failles permettraient aux attaquants « de compromettre complètement le serveur Endpoint Protection Manager, car ils peuvent accéder au niveau du système et de la base de données. De plus, les attaquants peuvent gérer tous les points de terminaison et éventuellement déployer du code contrôlé par les attaquants sur les points de terminaison. »
Symantec a mises à jour publiées pour remédier aux vulnérabilités, et probablement pas trop tôt : selon le SANS Internet Storm Center, au cours des dernières semaines, des attaquants ont été scanner massivement Internet pour le système de gestion Symantec Endpoint Protection. SANS Johannes B.Ullrich dit que l’activité pointe vers « quelqu’un qui construit une liste cible de systèmes vulnérables ».
CONSEILS SUR LE FIRMWARE DU ROUTEUR, SUITE
Poursuivant la discussion ci-dessus sur les alternatives au micrologiciel d’origine fourni avec la plupart des routeurs câblés / sans fil, la plupart des micrologiciels de routeur d’origine sont assez maladroits et rudimentaires, ou bien incluent des «fonctionnalités» ou des limitations non documentées.
Voici un exemple relativement mineur mais extrêmement frustrant, et que j’ai découvert par moi-même le week-end dernier : j’ai aidé quelqu’un à mettre en place un puissant ASUS RT-N66U routeur sans fil, et dans le cadre de la configuration, assurez-vous de changer les informations d’identification du routeur par défaut (admin/admin) en quelque chose de plus complexe. J’ai tendance à utiliser des phrases secrètes au lieu de mots de passe, donc mon mot de passe était assez long. Cependant, le micrologiciel d’origine d’ASUS ne m’a pas dit qu’il avait tronqué le mot de passe à 16 caractères, de sorte que lorsque j’allais me connecter à l’appareil plus tard, il ne me laisserait pas entrer avec le mot de passe que je pensais avoir choisi. Ce n’est qu’en travaillant à l’envers sur la phrase secrète de 25 caractères que j’avais choisie – en éliminant une lettre à la fois et en réessayant le nom d’utilisateur et le mot de passe – que j’ai découvert que la page de connexion donnerait une réponse « non autorisée » si j’entrais autre chose que que les 16 premiers caractères du mot de passe.
Normalement, lorsqu’il s’agit de mettre à niveau le micrologiciel du routeur, j’ai tendance à éloigner les gens du micrologiciel du fabricant vers des alternatives alternatives et open source, telles que DD-WRT ou Tomate. J’ai longtemps compté sur DD-WRT car il est livré avec toutes les cloches, sifflets et options que vous pourriez souhaiter dans un micrologiciel de routeur, mais il garde généralement ces fonctionnalités désactivées par défaut, sauf si vous les activez.
Que vous décidiez de mettre à niveau le micrologiciel d’origine vers une version plus récente du fabricant ou de vous tourner vers un fabricant de micrologiciel tiers, veuillez prendre le temps de lire la documentation avant de faire quoi que ce soit. La mise à jour d’un routeur Internet peut être délicate et nécessite une attention particulière. un clic errant ou le fait de ne pas suivre attentivement les instructions d’installation/de mise à jour peut transformer un routeur en un presse-papier surdimensionné en un rien de temps.
Mise à jour, 19 février, 8 h 10 HE : Date fixe dans la chronologie de l’exploit de Synology.