La sécurité commence avec un routeur domestique

L'auteur de l'article est l'architecte des solutions de sécurité au CERT

Récemment, VPNFilter a attiré beaucoup d'attention, en particulier après l' annonce publique du FBI le 25 mai et une série d'annonces de fabricants d'appareils et de sociétés de sécurité . Considérez le malware VPNFilter: quelles vulnérabilités il utilise et comment, évaluons son impact sur Internet. Je fais également des recommandations aux fabricants d'appareils Internet des objets (IoT), y compris les routeurs domestiques, qui sont devenus l'objectif de VPNFilter. Étant donné que l'article souligne la priorité de plusieurs vulnérabilités critiques, je répéterai les recommandations formulées dans l'article de mars 2017 sur le botnet Mirai .

Historique des vulnérabilités

Un article de blog Cisco sur VPNFilter fournit des détails sur les appareils vulnérables à cette vulnérabilité qui affecte "au moins 500 000 appareils réseau dans le monde". VPNFilter est à certains égards similaire à Mirai, car il cible également les appareils IoT, en particulier les routeurs domestiques. De plus, il est désormais connu que le botnet Mirai a utilisé quatre exploits 0day , en plus de la sélection habituelle de paires de connexion / mot de passe standard pour compromettre les appareils IoT. Récemment, une nouvelle version du botnet Mirai, ciblant également les routeurs domestiques, a été découverte.

Parmi les fabricants de routeurs bien connus affectés par VPNFilter, Linksys et Netgear ont attiré mon attention car, selon Statistica , leurs modèles populaires occupent 77% du marché des routeurs domestiques. En examinant les vulnérabilités typiques de ces appareils populaires, vous pouvez identifier certaines recommandations générales qui réduiront le risque d'attaques sur ces appareils mal contrôlés.

Le CERT de l'Institute of Software Engineering (SEI) a collaboré avec de nombreux fabricants de routeurs domestiques pour identifier et suivre les vulnérabilités. Cette collaboration vise à réduire l'impact de ces vulnérabilités sur Internet dans son ensemble.

Dans le diagramme ci-dessous, j'ai noté et classé les vulnérabilités de ces appareils susceptibles d'être exploitées. Dans de nombreux cas, les informations d'identification par défaut sont également utilisées. Les pirates utilisent ces vulnérabilités dans leurs outils pour étendre la base de données des appareils piratés.



La base de données de vulnérabilités du point focal CERT contient au moins deux vulnérabilités graves dans les routeurs qui ont largement affecté ces deux principaux fabricants:

• Plusieurs vulnérabilités de dépassement de tampon dans plusieurs routeurs . Une bibliothèque populaire utilisée par plusieurs fabricants de routeurs a une vulnérabilité de dépassement de tampon qui peut être utilisée pour compromettre un routeur et y installer des programmes arbitraires.
• Vulnérabilités dans l'implémentation de commandes à distance arbitraires dans Netgear . De nombreux routeurs Netgear sont vulnérables à l'exécution à distance de commandes arbitraires.

Ces vulnérabilités peuvent être suivies par plusieurs exploits qui sont accessibles au public sur exploit-db.com . D'une certaine manière, ils démontrent que le logiciel de ces appareils contient des vulnérabilités qui peuvent être exploitées à distance. Pour éviter de tels bogues, il est nécessaire d'appliquer des pratiques de programmation sûres. Mais il est clair qu'en production de masse, lorsque des appareils sont rapidement mis sur le marché, ces vulnérabilités sont difficiles à éviter et presque impossibles à éliminer. Nous pensons que la coordination et l'atténuation dues à ces lacunes sont les mesures les plus importantes pour garantir la fiabilité et la sécurité d'Internet. Mais des mesures supplémentaires peuvent être prises pour empêcher le piratage et les abus de masse dus à ces bogues, comme c'est le cas actuellement.

Le problème de la disponibilité presque constante

Je soupçonne que si je demande aux lecteurs de cet article de dire la dernière fois qu'ils ont redémarré leur routeur domestique, beaucoup arrêteront de lire pour le redémarrer. Le fonctionnement continu presque sans fin des routeurs domestiques modernes offre un avantage aux attaquants qui peuvent maintenir un accès à long terme à un système compromis, comme décrit en détail dans le modèle populaire des cinq étapes du piratage .

En réalité, les logiciels malveillants Mirai et VPNFIlter stage-2 sont des codes malveillants instables qui ne survivent pas à un redémarrage. Ce fait témoigne: les attaquants sont sûrs que les appareils ne redémarreront pas pendant longtemps.

Le rôle des soins occasionnels

Le deuxième facteur qui rend un routeur domestique vulnérable est le manque de correctifs ou de mises à jour. La mise à jour d'un routeur domestique nécessite généralement un redémarrage et probablement une courte interruption de service. De nombreux utilisateurs à domicile ne redémarrent jamais leur routeur, car ils ont besoin d'un Internet quotidien sans interruption pour recevoir des fichiers multimédias, regarder des vidéos et même de l'éducation. Dans de nombreux pays en développement où les routeurs sont fournis par un fournisseur de services Internet, il recommande aux utilisateurs de ne pas mettre à jour l'appareil afin d'éviter les problèmes d'incompatibilité. Dans d'autres endroits où le BYOD est courant (en utilisant votre appareil), les fournisseurs ne sont pas en mesure de contrôler quel équipement les utilisateurs ont installé ( CPE ).

Lorsque j'ai récemment visité la Côte d'Ivoire pour une conférence sur les DDoS et les botnets, les fournisseurs de services Internet ont expliqué que les utilisateurs ont des routeurs bon marché populaires et même des modèles inconnus que le fournisseur ne peut pas mettre à jour. Voici une autre raison pour laquelle ces appareils sont mal entretenus et ne reçoivent jamais les mises à jour ou correctifs de sécurité nécessaires.

Appel à l'action

Dans un article précédent sur Mirai, j'ai suggéré quelques recommandations pratiques et disponibles pour les routeurs domestiques et les appareils IoT. J'espère qu'ils deviendront une incitation pour les fabricants et les fournisseurs à introduire des solutions techniques innovantes pour réduire le risque d'utilisation de routeurs à des fins malveillantes:

1. L'installation de systèmes de fichiers sur des routeurs domestiques et des appareils IoT est en lecture seule, ce qui rend difficile l'installation de logiciels malveillants.
2. Désactiver tout traitement par lots, usurpation d'identité ou mode "inaudible" [dans lequel la carte réseau vous permet de recevoir tous les paquets, quel que soit leur destinataire - env. par.] au niveau du micrologiciel pour éviter une utilisation malveillante d'une ressource réseau sur ces appareils.
3. Mises à jour automatiques du micrologiciel pour éliminer de façon proactive les vulnérabilités - avec ou sans interruption planifiée.

La tâche de ces appareils simples et peu coûteux est de transférer des données sur un réseau ou de diffuser un flux en temps réel (comme des caméras IP), il n'y a aucune raison particulière de sauvegarder un logiciel sur l'appareil. En fait, certains des routeurs domestiques les plus récents prennent en charge le chroot et un système de fichiers en lecture seule, ce qui rend difficile l'installation des exploits. Même si un attaquant potentiel découvre ou devine le mot de passe administrateur, il ne pourra pas installer de logiciels malveillants tels que VPNFilter ou Mirai.

Dans les deux cas, le malware essaie de contrôler totalement la pile du réseau, ce qui vous permet de créer des paquets, d'usurper et d'intercepter des paquets, et de définir le mode «inaudible» sur les appareils infectés. De telles fonctions ne sont pas requises sur les routeurs simples et ne sont généralement pas utilisées. La suppression du mode «inaudible» éliminera complètement la possibilité d'utiliser des systèmes compromis à des fins malveillantes, telles que les attaques DDoS , l'installation de logiciels malveillants, l'interception de messages et la modification des paquets réseau.

Autres recommandations

En plus des recommandations ci-dessus, il existe d'autres recommandations pratiques qui peuvent aider à la fois les fabricants et les fournisseurs d'appareils. Les mises à jour automatiques sont désormais implémentées sur de nombreux appareils - elles font désormais partie intégrante des smartphones, tablettes et PC. Certaines de ces mises à jour sont effectuées sans interrompre le fonctionnement de l'appareil.

Dans les cas où une interruption de service est requise (par exemple, un redémarrage), l'utilisateur doit pouvoir demander une période de temps préférée, par exemple, minuit heure locale ou un jour de congé, pour assurer une interruption minimale du service. Ce type de mise à jour est requis pour les appareils tels que les routeurs domestiques et les appareils IoT.

Si les fabricants et les fournisseurs sont capables d'implémenter des mises à jour incrémentielles sans redémarrer et s'ils peuvent implémenter de nouvelles méthodes, telles que l'installation de correctifs en temps réel ( kpatch ) sur les systèmes vulnérables, cela est encore plus pratique. Si un redémarrage est nécessaire, les fabricants et les fournisseurs peuvent offrir à leurs clients le choix d'une mise à jour pour offrir un minimum d'inconvénients lors de la mise à jour des appareils

Recommandations des utilisateurs

La première et la plus importante recommandation consiste à modifier les informations d' identification par défaut sur le routeur domestique. Ensuite, mettez à niveau et redémarrez votre routeur domestique et d'autres appareils IoT dans votre maison. Un redémarrage hebdomadaire du routeur domestique n'est pas trop lourd et peut même améliorer ses performances.

Si vous aimez une maison bien protégée, n'oubliez pas de prendre soin de sa sécurité numérique, et cela commence par un routeur domestique.