Au moins trois routeurs Netgear sont vulnérables à une attaque par injection de commandes. L'exploitation de la faille est trivial et le CERT recommande donc de « fortement envisager l'arrêt de l'utilisation des dispositifs concernés jusqu'à ce qu'un correctif soit disponible ».
En ce moment, il ne se passe quasiment pas une semaine sans qu'une faille de sécurité remonte à la surface, avec des conséquences plus ou moins importantes pour les utilisateurs. Après les cartes bancaires Visa (voir notre analyse), c'est au tour de certains routeurs Wi-Fi de Netgear d'être dans la tourmente.
Trois routeurs récents vulnérables à une injection de commandes
Ce week-end, CERT.org a en effet publié un bulletin de sécurité inquiétant : « plusieurs routeurs Netgear sont vulnérables à l'injection arbitraire de commandes ». Les modèles concernés sont les R6400 et R7000 (respectivement avec les firmwares 1.0.1.6_1.0.4 et 1.0.7.2_1.1.93 et peut-être des plus anciens), ainsi que les R8000 (firmware 1.0.3.4_1.1.2) selon des retours d'utilisateurs. D'autres modèles sont peut-être vulnérables, prudence donc.
Exploiter cette vulnérabilité est triviale ajoute CERT.org. Le groupe de l'université Carnegie Mellon recommande donc aux utilisateurs qui le peuvent « de fortement envisager l'arrêt de l'utilisation des dispositifs concernés jusqu'à ce qu'un correctif soit disponible ».
Les conséquences sont en effet fâcheuses pour les clients de la marque : via un site web spécialement développé pour exploiter cette faille, « un attaquant distant non authentifié peut exécuter des commandes arbitraires avec des privilèges root sur le routeur concerné ». On imagine assez bien les conséquences que cela peut avoir : il s'agit d'un accès direct au cœur de la machine. Cela marche également en local, pour une personne connectée au réseau Wi-Fi par exemple.
Les détails d'exploitation sont disponibles, Netgear confirme et enquête
Cette brèche est donc déjà bien importante, mais la situation est d'autant plus grave que les détails de son exploitation ont été dévoilés. Le hacker à l'origine de cette découverte, Acew0rm, affirme sur son compte Twitter qu'il a contacté Netgear il y a quatre mois au sujet de cette faille : « Ils ne l'ont pas corrigée, j'ai donc dû la divulguer ».
Voici un exemple d'utilisation :
http://<router_IP>/cgi-bin/;COMMAND
Depuis, le fabricant a réagi officiellement. L'un de ses responsables explique ainsi que Netgear est « conscient du problème de sécurité #582384 affectant les routeurs R6400, R7000, R8000».
Via son site dédié au support, le constructeur confirme la situation : « un attaquant distant peut potentiellement injecter des commandes arbitraires qui sont ensuite exécutées par le système ». Pour le moment, il ne donne pas plus de détails. Il ajoute qu'il étudie la question et qu'il mettra son billet à jour le moment venu.
We (@NETGEAR) are aware of the security issue #582384 affecting R6400, R7000, R8000 Routers.
— Chris Salazar (@chris_salazar) 12 décembre 2016
Stay updated here: https://t.co/txgCiUH70B https://t.co/B3sHrF6Cbp
À défaut d'une mise à jour, certains auraient trouvé une solution temporaire
Si vous avez un des routeurs concernés et que, comme le recommande CERT.org, vous ne pouvez pas vous en passer pour le moment, voici certaines informations qui pourraient vous être utiles. Tout d'abord, vérifier si votre routeur est vulnérable. À défaut d'une information fiable et officielle de la part de Netgear, il faut se contenter du retour de certains utilisateurs.
Une manière d'y arriver serait de saisir la ligne de commande suivante dans son navigateur :
http://<router_IP>/cgi-bin/;uname$IFS-a
Si vous obtenez quoi que ce soit d'autre qu'une erreur ou une page blanche, alors vous êtes vulnérables à cette faille (généralement vous avez un texte à l'écran qui commence par « Linux Rxx00 2.6.36 », avec Rxx00 qui correspond à la référence de votre routeur).
En attendant qu'une mise à jour du firmware soit disponible, certains pensent avoir trouvé une solution temporaire : désactiver le serveur httpd... en utilisant justement cette faille via la commande suivante.
http://<router_IP>/cgi-bin/;killall$IFS'httpd'
Attention par contre, cette solution est remontée par des utilisateurs, mais rien ne confirme qu'elle fonctionne pour l'ensemble des routeurs concernés. Sachez également que si le routeur redémarre pour une raison ou une autre (coupure de courant par exemple), le serveur httpd se remet automatiquement en marche, en étant de nouveau vulnérable.
