Bonjour,
il semblerait qu'une nouvelle génération de ver voient le jour en s'attaquant directement aux routeurs et donc aux box de nos fournisseurs d'accès: http://www.dronebl.org/blog/8
Quelqu'un aurait il des infos et des explications plus claires?
D'ailleurs une question peut être naïve me vient à l'esprit:
Comme l'administration de la Freebox se fait directement sur le site de Free, les abonnés de Free sont ils vulnérables à ce genre d'attaque?
Merci.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Regarde ici
http://www.sebsauvage.net/rhaa/index...nquez-vos-box-
On voit maintenant apparaître une nouvelle génération de virus qui n'attaquent plus les PC, mais directement les routeurs.
Entrès gros et très résumé, c'est un vers pour les box/routeurs mal fait et avec un utilisateur qui ne sait pas mettre de vrai mots de passes.
La version plus longue
Ce vers est spécialement concu pour s'attaquer aux linux sur plateforme MIPS, un processeur que l'on trouve souvent sur les box/routeur (avec l'ARM) pour leur bon rapport cout/puissance/énergie consommée.
Son attaque est très simple, il ne fait qu'un brute force sur le serveur SSH de celui-ci. Le serveur SSH permet l'administration, de manière chiffrée, de ces boites. Le brute force consiste ici à tester les couples login/mot de passe simple (root/root, admin/admin...) pour s'y connecter. Evidément, cette attaque ne fonctionne pas si l'on à mis un vrai mot de passe sur celui-ci.
Un autre besoin de ce vers, c'est que le routeur / modem puissent être administré à distance par son port WAN (directement via internet en gros). En effet, le vers attaque depuis internet et doit donc être capable de s'authentifier d'internet vers l'utilisateur. Or avoir une interface d'administration qui écoute aussi bien sur le réseau local (LAN) ou internet (WAN) est une absurdité, il n'y a aucun besoin (sauf cas tres particulier, mais la on sait ce que l'on fait) d'administrer son routeur à distance. On doit être capable de le faire uniquement via le LAN (ce que font toutes les box francaises). Ainsi un bon modem/routeur ne pourra pas se faire attaquer via ce vers, meme avec un mot de passe faible.
L'exemple que tu cites pour la Freebox n'est pas une administration à distance à proprement parler : tu ne te connectes pas sur ta Fbx à distance, mais sur un site (celui de Free en l'occurence) qui va pousser les paramètres au prochain redémarage de ta box.
Au redémarrage de ta box, celle ci va suivre les étapes suivante (du moins je le suppose tres fortement) :
- pas de réseau, tentative de joindre un serveur DHCP
- affectation d'une adresse IP
- récupération du noyau linux et des mises à jours,
- execution d'un script pour récupérer les paramètres de l'interfaces du site de free
- fin du boot
A aucun moment, hors phase de DHCP, ta box va recevoir des configurations, elle va au contraire elle meme aller les chercher, ce qui évite toute usurpation ou tentative d'envoie de données frauduleuses : elle n'accepte pas les connextion d'internet vers elle, mais authorise les connexion d'elle vers internet et leur retour
Merci, mais cela ne répond pas à ma question:Envoyé par SNT
Notez que j'ignore quelles box françaises sont impactées par ce virus
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Merci Towl!
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Pas forcément...
Si tu a Java activé sur ton ordinateur, en visitant seulement une page web contenant un applet, il est possible en combinant un code java script et Java d'attaquer ton routeur, étant donné que ces script s'exécutent sur ta machine...
Pour ce vers, non ce n'est pas le cas, il a besoin du port WAN.
Ce que tu mentionne s'apparente à un virus qui combinerais alors plusieurs attaques :
- execution de code en vue de faire un brute force à partir du navigateur client, codé en Java (pour reprendre ton exemple)
- execution du botnet sur le routeur, lui en langage compilé pour plateforme MIPS.
L'interet d'un tel virus est un peu plus faible : pourquoi faire une attaque qui va être détectée par l'utilisateur (antivirus, firewall bien configuré) pour ensuite "s'amuser" avec le routeur ?
Ce vers s'attaque justement à la frontière Internet / utilisateur, la ou aucun AV/FW n'est placé et donc ne pourra pas etre detecté par des moyens "conventionels" (ie à la portée de tout utilisateur)
Mais bien entendu le fait que ce vers ne le fasse pas ne signifie pas que c'est impossible, d'ou l'importance de toujours mettre à jour ses logiciels, de se protéger correctement, et d'avoir des mots de passes non triviaux.
Effectivement je n'ai pas vu que vous parliez d'un vers particulier...
