Il semble qu'il est temps de renommer le condensé. Au cours de la semaine dernière, trois études ont été publiées à la fois sur de nouveaux trous dans trois routeurs différents, une de plus sur la vulnérabilité des téléviseurs intelligents Sony et une autre - sur la sécurité des routeurs en général, à l'échelle mondiale
intergalactique . Heureusement, il y a beaucoup à discuter. Malheureusement, la sécurité des appareils de la classe «choses d'Internet» est vraiment assez faible. Malheureusement, toutes les études de sécurité IoT ne sont pas également utiles. Essayons de savoir qui est ici.
Nous commençons par une étude sur les routeurs Mikrotik (
actualités ,
publication originale). D'une part, la recherche de Tenable Security est digne: un moyen fiable a été trouvé pour obtenir des droits de superutilisateur en provoquant une erreur de dépassement de tampon. En revanche, bien que cette méthode agisse à distance, elle nécessite que l'attaquant soit déjà autorisé. Et l'autorisation peut être obtenue en exploitant la vulnérabilité précédente découverte en avril.
En général, une telle cerise sur le gâteau facultative s'est avérée. Le bogue d'avril CVE-2018-14847 vous permet de lire à distance n'importe quel fichier sur le routeur et d'y accéder via lui (plus à ce sujet, plus précisément sur les conséquences, dans le
résumé du 10 septembre). La vulnérabilité trouvée par Tenable n'est qu'un moyen fiable d'augmenter les privilèges. En plus de RCE, quelques bugs supplémentaires ont été trouvés qui ont causé un déni de service, mais ce n'est pas si intéressant. Comme d'habitude, si vous activez et désactivez la possibilité d'administrer le routeur à partir d'Internet, tous ces problèmes cessent d'être des problèmes. Mais il est encore mieux de mettre à niveau: dans les mises à jour d'août du micrologiciel Mikrotik RouterOS, ces bogues récemment découverts ont été fermés.
Et D-Link? Il s'avère que D-Link dispose d'un utilitaire de gestion à distance des routeurs, quelque chose comme la WinBox de Mikrotik, appelée
WiFiManager . Ainsi, cette application au démarrage génère un serveur FTP avec une paire de noms d'utilisateur - le mot de passe admin / admin, et, apparemment, l'administrateur du serveur ne peut pas configurer ou désactiver cette «fonctionnalité» de quelque façon que ce soit. L'exemple de code dans la capture d'écran ci-dessus utilise ce serveur FTP pour télécharger le fichier .php, qui est ensuite demandé au serveur. Lors de la demande de ce fichier, les chercheurs de Core Security (plus de détails ici:
actualités et
recherches ) ont effectué une exécution à distance de code arbitraire. Vous pouvez lire sur une autre vulnérabilité similaire avec une exploitation légèrement moins triviale sur les liens ci-dessus. D-Link a publié une version bêta de WiFiManager, dans laquelle les trous sont fermés, et
recommande la mise à jour, car le logiciel met en danger à la fois le serveur et ses routeurs ou points d'accès gérés, et potentiellement l'ensemble du réseau d'entreprise.
Et TP-Link? Dans le routeur TP-Link TL-WR841N (c'est un modèle mondial peu coûteux et abordable, à partir de 1000 roubles dans le commerce de détail), les experts de Tenable Security ont fouillé, le même que dans l'histoire de MikroTik. Ils ont trouvé (
nouvelles ,
recherches ) une paire traditionnelle de vulnérabilités de déni de service, mais la plus intéressante était la vulnérabilité XSRF. Au cours de l'été de cette année,
un grave trou a été
découvert , permettant de contourner l'autorisation dans l'interface Web du routeur. Ensuite, tout ne semblait pas si mal, car le routeur autorise l'interface Web uniquement à partir du réseau local ou de l'extérieur, à partir des domaines tplinklogin.net ou tplinkwifi.net. Ainsi, les chercheurs de Tenable ont pu lancer une attaque telle que la «contrefaçon de demande intersite», car le routeur ne valide que les premiers caractères du domaine source lors de la validation. Autrement dit, la demande sera acceptée non seulement de tplinklogin.net, mais aussi de
tplinklogin.net . Un point intéressant: bien que TP-Link ait répondu aux demandes des experts de Tenable, les vulnérabilités ne sont toujours pas fermées, y compris le problème de contournement des autorisations d'interface Web publié cet été.
UPD du 15/10/2018 : En fait, ils vont déjà bien. TP-Link nous a contactés et
Ils ont dit qu'ils avaient sorti une nouvelle version du logiciel, qui corrigeait tout.
Détails ici .
L'association américaine à but non lucratif The American Consumer, qui vise à protéger les droits des consommateurs, a décidé d'évaluer (
actualité ,
recherche ) la vulnérabilité des routeurs sans être liée à des modèles spécifiques. Pour ce faire, nous avons utilisé un logiciel qui
analyse le code compilé librement distribué. En conséquence, il est devenu possible d'analyser le micrologiciel des routeurs pour la présence de vulnérabilités précédemment connues. Il a été étudié 186 modèles de routeurs de 14 fabricants. Parmi ceux-ci, 155 routeurs, soit 83%, présentaient de graves vulnérabilités qui pourraient être exploitées par des attaquants.
De telles études sont un peu comme essayer de calculer la température moyenne dans un hôpital. L'information selon laquelle «le routeur moyen contient 172 vulnérabilités, dont 12 sont critiques» ne dit absolument rien sur l'applicabilité des trous existants dans la pratique. Conclusion: «Nos consommateurs, nos infrastructures et notre économie sont en danger.» Eh bien, pour ainsi dire, oui. Pour cette conclusion, il n'était pas nécessaire de considérer les vulnérabilités par tête.
Qu'en est-il des téléviseurs Sony? Fortinet a découvert (
nouvelles ) sur les téléviseurs intelligents Sony Bravia trois vulnérabilités. Il existe deux bogues traditionnels: le traitement incorrect des requêtes HTTP, la lecture du système de fichiers via un navigateur. Et une autre critique: le téléviseur traite de manière inexacte les noms de fichiers des photos téléchargées. Par conséquent, les photos peuvent être nommées de manière à ouvrir les droits root. La vulnérabilité est exploitée à distance, mais uniquement si l'attaquant peut également pirater le réseau Wi-Fi, auquel le téléviseur est également connecté. Sony a déjà
publié des correctifs pour un certain nombre de modèles de téléviseurs intelligents, qui, en théorie, devraient être livrés automatiquement aux consommateurs.
Avis de non-responsabilité: les opinions exprimées dans ce recueil ne coïncident pas toujours avec la position officielle de Kaspersky Lab. Chers rédacteurs recommandent généralement de traiter toute opinion avec un scepticisme sain.