Un répéteur Wi-Fi ouvre les réseaux au contrôle à distance

Selon les chercheurs, un répéteur Wi-Fi domestique présente de multiples vulnérabilités non corrigées, notamment l’utilisation d’un mot de passe par défaut faible. En outre, deux des failles pourraient permettre un contrôle à distance complet de l’appareil.

Les failles ont été trouvées dans le répéteur Tenda PA6 Wi-Fi Powerline, version 1.0.1.21, qui étend le réseau sans fil dans toute la maison en utilisant la technologie HomePlug AV2.

«Un appareil compromis peut faire partie d’un botnet d’IoT qui lance des attaques par déni de service distribué (DDoS), utilisé pour basculer vers d’autres appareils connectés, exploité pour miner de la crypto-monnaie ou utilisé de diverses autres manières non autorisées, », ont expliqué les chercheurs d’IBM X-Force, dans une publication.

Problèmes de serveur Web du répéteur Wi-Fi

Les deux premières failles sont un problème d’injection de commandes (CVE-2019-16213) et un débordement de tampon critique (CVE-2019-19505). Ils se trouvent sur le serveur Web du répéteur, sous un processus nommé “httpd”.

La vulnérabilité d’injection de commande a une note de 8,8 sur 10 sur l’échelle de gravité CVSS. Cela provient du fait que dans la section «Powerline» de l’interface utilisateur (UI) du serveur Web du répéteur, l’utilisateur peut voir et modifier le nom des autres dispositifs de communication CPL (PLC) qui sont connectés au même réseau CPL. Un utilisateur authentifié peut injecter une commande arbitraire simplement en changeant le nom de périphérique d’un adaptateur PLC connecté avec une chaîne spécialement conçue, ont noté les chercheurs. Étant donné que le serveur Web fonctionne avec les privilèges root, un attaquant pourrait tirer parti de cette injection pour compromettre complètement l’appareil.

«Le nom saisi par l’utilisateur est concaténé en tant qu’argument de l’application ‘homeplugctl’ et est exécuté par la fonction de bibliothèque du système”, selon IBM X-Force. “Cette entrée utilisateur est simplement décodée par URL, sans aucune validation ni assainissement.”

emotet wifi

La deuxième vulnérabilité se trouve dans la section «Sans fil» de l’interface utilisateur Web: en ajoutant un périphérique à la liste de contrôle d’accès sans fil avec un nom d’hôte spécialement conçu, un attaquant distant pourrait faire déborder une mémoire tampon et exécuter du code arbitraire sur le système ou pousser l’application à planter. La faille est répertoriée comme critique, avec une cote de gravité de 9,8.

«Il est possible d’écraser le registre d’adresse de retour $ra et de commencer à contrôler l’exécution du programme», selon l’analyse. «Un attaquant motivé peut utiliser cela pour potentiellement exécuter du code arbitraire. Notez que le débordement n’est pas le résultat d’un appel non sécurisé à des fonctions telles que strcpy ou memcpy. “

Basculer vers une attaque à distance

Les deux failles sont post-authentification – donc un utilisateur devrait être connecté pour exploiter les vulnérabilités. Mais il y a une grande mise en garde à ceci: le serveur Web lui-même est protégé par un mot de passe par défaut (et très devinable) “admin”.

«Les deux vulnérabilités de cette interface utilisateur Web permettent à un utilisateur authentifié de compromettre l’appareil avec des privilèges root, et si l’authentification doit fournir une couche de sécurité, dans ce cas, avec un mot de passe faible et devinable, elle ne doit pas être considérée comme une protection adéquate». expliquèrent les chercheurs.

répéteur wi-fi

De même, l’interface du serveur Web ne doit être accessible qu’à partir du réseau local – cependant, une mauvaise configuration peut l’exposer à Internet et donc à des attaquants distants. Et, IBM X-Force a constaté que la combinaison de ces vulnérabilités avec une technique de ‘reliaison’ DNS fournit à l’attaquant un vecteur distant qui ne dépend pas de la configuration de l’utilisateur.

«Ce vecteur d’attaque à distance n’est pas exagéré ici, et en utilisant une technique appelée reliaison DNS, nous avons pu effectuer la même attaque à partir d’un site Web distant, en surmontant les limitations de même origine par le navigateur», ont déclaré les chercheurs. «Avec cette technique connue, une fois que la victime est amenée à visiter un site Web malveillant, l’ensemble de son réseau local est exposé à l’attaquant.»

La reliaison DNS implique l’utilisation d’une charge utile JavaScript malveillante pour analyser le réseau local à la recherche de répéteurs CPL vulnérables. S’il est trouvé, une connexion peut être tentée à l’aide d’une liste de mots de passe courants.

«Dans notre démonstration, nous avons pu obtenir un shell inversé sur l’appareil vulnérable simplement en demandant à une personne ayant accès au réseau de l’appareil de visiter notre site Web», ont déclaré les chercheurs. Ceci est important car cela permet à un attaquant de prendre le contrôle des appareils vulnérables à distance simplement en demandant à la victime de visiter un site Web.”

Déni de service pré-autorisation

La troisième vulnérabilité (CVE-2019-19506), qui a une note de 7,5 sur 10 sur l’échelle de gravité, réside dans un processus appelé «homeplugd», qui est lié à la fonctionnalité CPL du dispositif d’extension. En envoyant un paquet UDP spécialement conçu, un attaquant pourrait exploiter cette vulnérabilité pour provoquer le redémarrage de l’appareil. En provoquant un redémarrage récurrent, l’appareil effectuera une boucle de redémarrage et ne pourra pas exécuter ses fonctions ou se connecter à Internet.

Contrairement aux deux autres vulnérabilités, un attaquant dans ce cas n’aurait pas besoin d’être authentifié.

«Alors que nous inspections les ports ouverts et leurs services correspondants sur le répéteur, nous avons remarqué que le processus homeplugd écoutait sur le port UDP 48912», selon l’analyse. «L’inversion du binaire nous a révélé qu’aucune authentification n’était requise pour interagir avec ce service.»

Etat du patch

Il n’y a pour l’instant aucun correctif pour ces vulnérabilités.

«Malheureusement, malgré des tentatives répétées pour contacter Tenda, IBM n’a pas encore reçu de réponse à ses e-mails et appels téléphoniques», ont déclaré les chercheurs. «On ne sait toujours pas si l’entreprise travaille sur des correctifs.»

Pour se protéger, les utilisateurs doivent changer les mots de passe par défaut sur tous les appareils qui se connectent à Internet, mettre à jour régulièrement le firmware et utilisez des contrôles de filtrage internes ou un pare-feu.

«Alors que la plupart des failles des logiciels populaires sont corrigées, les périphériques tels que les répéteurs CPL, et même les routeurs, ne semblent pas recevoir le même traitement et sont trop souvent exposés à des attaques potentielles», ont conclu les chercheurs. «Mais ces appareils ne sont pas simplement une prise de connectivité à la périphérie du réseau. Une vulnérabilité suffisamment critique peut être exploitée pour atteindre d’autres parties du réseau. Cela est particulièrement vrai pour les routeurs, mais cela s’étend également à d’autres périphériques qui ont une sorte d’interface avec le réseau. »

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x