3 hubs domestiques vulnérables à des attaques à distance

3 hubs domestiques intelligents – le Fibaro Home Center Lite, Homematic Central Control Unit (CCU2) et le eLAN-RF-003 d’Elko – sont vulnérables dans leurs anciennes versions à de graves failles qui permettraient la divulgation d’informations, des attaques de l’homme au milieu (MiTM-Man in The Middle) et des exécutions de code à distance non authentifié (RCE), selon les chercheurs.

Les hubs domestiques sont utilisés pour connecter une gamme d’appareils intelligents (y compris les appareils électroménagers, les caméras IP, les gadgets de thermostat, les sonnettes intelligentes, les téléviseurs connectés, Google Home et Amazon Alexa, ainsi que les ordinateurs portables, les téléphones, etc.). Des chercheurs d’ESET ont souligné dans leur recherche qu’un attaquant qui compromet l’un de ces derniers pourrait en théorie avoir un accès complet à tous les périphériques qui lui sont connectés. C’est un scénario qui pourrait également avoir un impact sur les entreprises étant donné que plus de personnes travaillent à domicile.

Les failles ont été révélés par ESET la semaine dernière, bien que la plupart d’entre elles aient été corrigées dans des mises à jour précédentes. Ces vulnérabilités ont toujours un impact sur un certain nombre d’appareils IoT, a déclaré le cabinet d’analystes – probablement parce que les consommateurs n’ont pas tendance à mettre à jour le firmware de leur appareil très souvent, voire pas du tout; et, une poignée de failles restent non patchées.

fibraro home center lite hubs domestiques

Fibraro Home Center Lite

L’équipe de recherche d’ESET a découvert que Fibaro Home Center Lite (version 4.170 du firmware) était vulnérable à une série de failles. Les problèmes comprenaient:

  • des connexions TLS qui étaient vulnérables aux attaques MitM grâce à une validation de certificat manquante – ce qui ouvrirait la porte à l’injection de commandes
  • l’utilisation d’un mot de passe très court et codé en dur stocké dans le fichier /etc/shadow du micrologiciel de l’appareil, propice au forçage brutal
  • l’utilisation d’un sel de mot de passe codé en dur
  • une API de service météorologique vulnérable qui a divulgué les coordonnées GPS exactes de l’appareil en raison de l’utilisation de communications HTTP non chiffrées

Certaines de ces failles de sécurité pourraient être associées pour créer une porte dérobée SSH et obtenir le contrôle total d’un appareil ciblé.

Par exemple, les chercheurs d’ESET ont pu créer leur propre serveur MiTM, grâce au fait que le Fibaro Home Center Lite communique avec son serveur cloud via un tunnel SSH standard, mais il ne valide pas le certificat pour les communications TLS avec le serveur.

“Fibaro Home Center Lite envoie deux requêtes distinctes chiffrées avec TLS qui demandent le nom d’hôte et le port d’écoute du serveur SSH”, ont expliqué les chercheurs. “Sur la base des informations renvoyées, Fibaro Home Center Lite crée une connexion sécurisée via un tunnel SSH au serveur SSH spécifié.”

En raison de l’échec de la vérification du certificat sur les requêtes TLS, tout attaquant peut utiliser de faux certificats signés par son serveur proxy pour accepter la clé publique du périphérique ciblé et imiter le vrai serveur Fibaro.

“Pour aggraver les choses, les requêtes TLS interceptées – destinées à créer le tunnel SSH entre l’appareil et le serveur légitime – sont vulnérables à l’injection de commandes”, selon les chercheurs. “En utilisant le serveur MitM, les attaquants peuvent remplacer l’adresse du serveur d’origine lb-1.eu.ra.fibaro.com par ce qu’ils souhaitent.”

Par exemple, l’attaquant peut générer une réponse malveillante avec une injection de commande qui entraîne l’échec du script shell d’initialisation du périphérique. Cela incite l’appareil à demander à nouveau l’adresse IP du serveur – une demande qui peut maintenant être interceptée par l’attaquant et remplacée par un tunnel différent.

“Un autre tunnel est créé, via lequel le port de la porte dérobée SSH de l’attaquant est transféré”, selon l’analyse. «Cela redirige la communication des deux ports (SSH 666, HTTP 80) vers le serveur MitM de l’attaquant. À partir de ce moment, l’attaquant a un accès root à Fibaro Home Center Lite. »

À partir de là, les attaquants peuvent intercepter les mises à jour du micrologiciel et trouver le mot de passe root codé en dur, valable pour tous les appareils Fibaro Home Center Lite.

Les attaquants peuvent également manipuler les informations d’identification de l’utilisateur sur l’interface Web de l’appareil, stockées dans une base de données SQLite sur Fibaro Home Center Lite.

«Ces mots de passe sont stockés sous forme de hachages SHA-1, créés à partir du mot de passe fourni salé avec une chaîne codée en dur qui peut facilement être extraite d’un script dans le fichier image du firmware», explique les chercheurs. “En utilisant le sel, un attaquant peut réécrire les informations d’identification existantes dans la ligne appropriée de la base de données SQLite de Home Center Lite située dans /mnt/user_data/db, rendant le mot de passe légitime invalide.”

Fibaro a distribué des patchs pour ces failles, afin que les hubs domestiques vérifient désormais les certificats de serveur et interdisent les injections de commandes. Le mot de passe root a également été remplacé par une «alternative plus longue et plus sécurisée», selon ESET.

La chaîne de sel utilisée pour créer le hachage SHA-1 du mot de passe est cependant un problème persistant.

homematic central control unit hubs domestiques

Homematic Central Control Unit (CCU2)

Le Homematic CCU2 (version 2.31.25 du firmware) contient une faille qui permettrait l’exécution de code à distance (RCE) non authentifié en tant qu’utilisateur root.

Le problème est causé par un script CGI (Common Gateway Interface) qui gère la procédure de déconnexion de l’interface d’administration Web du Homematic CCU2.

“Le paramètre $sid (ID de session) n’a pas été correctement échappé, permettant à un attaquant d’injecter du code malveillant et d’exécuter des commandes shell arbitraires en tant qu’utilisateur root (administrateur)”, selon les chercheurs. “Comme le script de déconnexion ne vérifie pas qu’il traite une demande provenant d’une session actuellement connectée, un nombre illimité de ces demandes pourraient être faites par un attaquant sans jamais avoir à se connecter à l’appareil.”

En exploitant cela, un pirate informatique pourrait définir un nouveau mot de passe root.

Le problème a été patché.

elan rf 003 hubs domestiques

eLAN-RF-003 d’Elko

L’eLAN-RF-003 (version 2.9.079 du firmware) est un boîtier RF intelligent qui permet à l’utilisateur de contrôler une variété de systèmes tels que l’éclairage, la température de l’eau chaude, le chauffage, les serrures intelligentes, les volets, les stores, les ventilateurs, les prises de courant et plus via une application installée sur un smartphone.

ESET a découvert des vulnérabilités critiques dans le hub, notamment l’utilisation d’un protocole HTTP non chiffré pour la communication de l’interface graphique Web de la box. En gros, toutes les communications des utilisateurs – y compris les données sensibles telles que les noms d’utilisateur et les mots de passe – ont été envoyées sur le réseau sans cryptage ni aucune autre forme de protection, permettant à tout attaquant d’intercepter les informations en clair.

Également en cause: authentification inadéquate, permettant à toutes les commandes d’être exécutées sans demander de connexion; un manque de cookies de session, donc aucun mécanisme permettant de vérifier que l’utilisateur était correctement connecté; et les périphériques connectés au boîtier RF intelligent étaient vulnérables aux attaques d’enregistrement et de relecture.

«L’accès non authentifié à l’interface Web est un problème grave, car il donne à toute personne ayant accès au réseau local la possibilité de prendre le contrôle du boîtier RF intelligent et, par conséquent, de tous les appareils qui y sont connectés», selon l’analyse. “Ceci est particulièrement inquiétant en raison de la combinaison possible avec d’autres vulnérabilités qui permettent à l’attaquant de prendre le contrôle du réseau Wi-Fi local.”

Les attaquants pourraient extraire des informations sur les périphériques, les plans d’étage, les erreurs, les attributs de la maison intelligente gérée, la version du firmware de l’appareil, etc., a noté ESET.

Malheureusement, deux des vulnérabilités signalées (la communication d’interface Web non chiffrée et la communication par radiofréquence (RF) non sécurisée) ne semblent pas patchées pour le moment, alors que seuls des correctifs partiels ont été émis pour les autres failles, a déclaré ESET. Cela dit, les chercheurs n’ont pas analysé la dernière génération de l’appareil.

La plupart des failles de hubs domestiques ont été patchés

«La plupart des failles révélées par ESET ont été corrigées par les fournisseurs de ces appareils», ont conclu les chercheurs. “Cependant, certains problèmes semblent ne pas avoir été résolus, du moins sur les anciennes générations d’appareils. Même si des générations plus récentes et plus sécurisées sont disponibles, les plus anciennes sont toujours en service.”

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x