Une méchante faille de sécurité dans les routeurs Netgear (Mà J) |
————— 14 Décembre 2016 à 14h30 —— 22353 vues
Une méchante faille de sécurité dans les routeurs Netgear (Mà J) |
————— 14 Décembre 2016 à 14h30 —— 22353 vues
Mise à jour du 26 décembre : Netgear a corrigé le tir sur tous les modèles incriminés, un correctif étant disponible directement sur le site du constructeur.
Netgear fait actuellement face à une publicité dont la firme se serait bien passée. Vendredi dernier, Andrew Rollins (Acew0rm), un expert en sécurité a publié via Twitter une faille affectant les modèles de routeurs Netgear R6400, R7000 et R8000. Il semble avoir tenté d'alerter en vain Netgear depuis plusieurs mois, et, par dépit, il a fini par rendre la faille publique. Le CERT (Computer Emergency Response Team) américain de l’Université Carnegie-Mellon a publié dans la foulée un avis recommandant… de ne plus utiliser ces routeurs (bim, ça fait mal quand même ça). Aujourd’hui Netgear a confirmé le problème et a même ajouté les modèles R6250, R6700, R7100LG, R7300 et R7900 à la liste des modèles affectés ; ça commence à faire du monde.
La faille en question est de type injection de commande et utilise un bug dans le serveur web permettant l’administration à distance (qui est quand même désactivée par défaut), et si le CERT de Carnegie a publié une telle recommandation, c’est qu’elle est très facilement exploitable et qu’elle pourrait être utilisée pour lancer des attaques DDOS (déni de service distribué). Pour exploiter ce trou béant, il suffit pour cela d’ajouter à la suite de L’URL de connexion au service web un point-virgule suivi de la commande à exécuter :
http://IP_ROUTEUR/cgi-bin/;COMMANDE
Effectivement, plus simple tu meurs. Pour arranger le tout, la commande s’exécute sous l’utilisateur root, donc avec les droits administrateur. Ce qui est sympa c’est que l’on peut utiliser cette faille pour s’en protéger :
http://IP_ROUTEUR/cgi-bin/;killall$IFS’httpd’
Cette commande-là permettra de tuer le service web fautif jusqu’au prochain redémarrage (httpd étant le nom de processus du service et $IFS la variable du shell bash permettant d’insérer un séparateur, en l’occurrence le caractère « espace »).
Netgear a commencé à travailler en urgence sur un correctif et a mis en ligne une première version bêta pour les modèles R6250, R6400, R6700, R7000 et R8000. En attendant, espérons que la liste des routeurs affectés ne s’allonge pas plus…
 | |
 | |
 | |
 | |
 | |
 | |
 | |
 |