Une trentaine de routeurs/modems Netgear sont vulnérables à une faille de sécurité permettant de récupérer le mot de passe administrateur. Celle-ci est utilisable à distance suivant la configuration du routeur. Des correctifs sont disponibles, mais pas pour tous les produits.
Mi-décembre, CERT.org publiait un bulletin d'alerte concernant une faille de sécurité critique dans plus d'une dizaine de produits (routeurs et/ou modems) Netgear. La brèche était considérée comme « triviale » car elle permettait d'injecter à distance et de manière arbitraire des lignes de commandes.
Aujourd'hui, Netgear est de nouveau pointé du doigt pour une autre faille (identifiée par le CVE-2017-5521) qui permet, sous certaines conditions, de récupérer le mot de passe administrateur du routeur, ce qui peut évidemment avoir de fâcheuses conséquences. Trustwave a publié un billet de blog, qui est confirmé par un bulletin de sécurité de Netgear.
Vous n'avez pas le mot de passe ? Netgear vous donne un jeton pour le récupérer
Tout d'abord, il faut que l'option permettant de récupérer le mot de passe soit désactivée dans les paramètres du routeur. La suite n'est pas bien compliquée. Lorsque l'étape d'authentification est annulée, l'utilisateur est redirigé vers une page contenant un « jeton de récupération de mot de passe », comme indiqué sur la capture ci-dessous :
Or, comme l'avaient déjà remarqué des chercheurs il y a plus de trois ans (ici et là), celui-ci peut être utilisé pour récupérer le mot de passe administrateur de la machine. Il suffit de se rendre sur la page « /passwordrecovered.cgi?id=TOKEN », TOKEN correspondant au jeton récupéré. Simple et rapide...
Par contre, si la récupération du mot de passe est activée dans les paramètres du routeur, ce dernier demandera de répondre à une question de vérification définie lors de l'activation de l'option. De plus, pour que cette faille soit utilisable à distance, il faut que l'option « remote management » soit activée, ce qui n'est pas le cas par défaut rappelle Netgear.
La longue liste des produits impactés, des mises à jour sont disponibles
De son côté, le constructeur dresse une liste complète des produits touchés. Elle est relativement longue, mais la bonne nouvelle est qu'une mise à jour est disponible pour une bonne partie des modems/routeurs (il suffit de cliquer sur le lien pour arriver sur la page de téléchargement du firmware) :
- R8500
- R8300
- R7000
- R6400
- R7300DST
- R7100LG
- R6300v2
- WNDR3400v3
- WNR3500Lv2
- R6250
- R6700
- R6900
- R8000
- R7900
- WNDR4500v2
- R6200v2
- WNDR3400v2
- D6220
- D6400
La procédure de mise à jour est détaillée sur le lien de chaque modem/routeur Netgear. Les notes de versions ne mentionnent pas toujours qu'il est question de régler le « problème de vulnérabilité de divulgation de mot de passe ». Mais cela est normal puisque d'autres mises à jour ont pu être publiées depuis. Dans tous les cas, si vous n'avez pas le dernier firmware en date, il est recommandé d'installer la mise à jour proposée par le constructeur (via une connexion filaire de préférence afin d'éviter un problème de déconnexion du Wi-Fi).
Seule exception, le modem câble C6300 dont le déploiement des mises à jour dépend de votre fournisseur d'accès à Internet (FAI). Netgear affirme qu'il a d'ores et déjà envoyé le correctif à l'ensemble de ses partenaires, qui doivent maintenant le proposer à leurs clients. Pour connaitre la version de votre firmware la procédure est expliquée ici et vous devez avoir la mouture 2.01.18 au minimum pour être protégé contre cette faille.
Une douzaine de routeurs/modems toujours vulnérables
Pour d'autres modes/routeurs par contre, aucune mise à jour n'est disponible actuellement. Là encore, la liste est relativement longue avec, entre parenthèses, la dernière version du fimware disponible :
- R6200 (v1.0.1.56_1.0.43)
- R6300 (v1.0.2.78_1.0.58)
- VEGN2610 (v1.0.0.14_1.0.12)
- AC1450 (v1.0.0.34_10.0.16)
- WNR1000v3 (v1.0.2.68_60.0.93)
- WNDR3700v3 (v1.0.0.38_1.0.31)
- WNDR4000 (v1.0.2.4_9.1.86)
- WNDR4500 (v1.0.1.40_1.0.68)
- D6300 (v1.0.0.96)
- D6300B (v1.0.0.40)
- DGN2200Bv4 (v1.0.0.68)
- DGN2200v4 (v1.0.0.76)
Pour ceux-ci, le fabricant recommande d'activer manuellement la procédure de récupération du mot de passe et de désactiver la gestion à distance afin d'éviter tout risque. Netgear explique qu'il faut mettre en place ces deux procédures pour être protégé et en profite pour tenter de se dédouaner en cas de problème. Le constructeur explique en effet qu'il « n'est pas responsable des conséquences qui auraient pu être évitées en suivant les recommandations contenues dans cette notification ». Les clients apprécieront...
Le parcours du combattant pour remonter des failles à Netgear
Lors de la divulgation de la précédente faille critique, le chercheur à l'origine de sa découverte affirmait qu'il avait contacté Netgear, mais que le fabricant n'avait pas donné suite. Cette fois-ci, l'équipe de Trustwave explique avoir informé le fabricant en avril de l'année dernière. En juin, une notice était mise en ligne avec les premiers correctifs.
Celle-ci a depuis été mise à jour à de nombreuses reprises avec de nouveaux modèles touchés par cette faille, mais aussi avec des produits annonçait comme vulnérables qui ne l'étaient finalement plus, du moins selon Netgear. C'était notamment le cas du DGN2200v4, alors que pour les chercheurs il était bien touché par cette faille.
Netgear annonce du changement et met en place un programme de récompense
« Au cours des neuf derniers mois, nous avons tenté de contacter NETGEAR plusieurs fois afin d'obtenir des éclaircissements et leur donner le temps de mettre en place des correctifs pour les autres modèles » indique Trustwave. Le dialogue semblait très difficile, mais « Netgear nous a finalement répondu juste avant que nous dévoilions ces vulnérabilités publiquement ».
Les chercheurs étaient un « peu sceptiques », mais ils ont décidé de laisser une dernière chance à Netgear, notamment parce que le fabricant s'était engagé sur deux points : proposer des mises à jour rapides et la mise en place d'un programme de récompense (bug bounty). Celui-ci a été lancé début janvier sur bugcrowd et le fabricant propose entre 150 et 15 000 dollars par faille découverte. Les chercheurs de Trustwave ne précisent pas s'ils en ont bénéficié.
Deux failles critiques en deux mois, ça fait beaucoup...
De son côté, le fabricant se contente de préciser qu'il préfère être proactif que réagir aux problèmes de sécurité une fois qu'ils se présentent, mais force est de constater que cela n'est pas suffisant. Quoi qu'il en soit, avec deux failles critiques (et triviales) en l'espace de quelques semaines, c'est un coup dur pour Netgear, d'autant plus que la marque n'était visiblement pas très réactive lorsqu'on lui signalait des failles. Espérons que le changement amorcé avec Trustwave se poursuive si d'autres bugs devaient remonter à la surface.
Comme en décembre, ce nouvel épisode pourrait pousser certains utilisateurs à changer de crémerie pour leur firmware. Parmi les solutions open source les plus plébiscitées, nous pouvons citer Tomato et DD-WRT.
