Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Des pirates remplacent le firmware de routeurs Cisco mal configurés

Les clés sont sous le paillasson

Des pirates remplacent le firmware de routeurs Cisco mal configurés

Le 17 septembre 2015 à 06h30

La société de sécurité FireEye a publié un bulletin d’information sur le piratage de plusieurs routeurs Cisco. L’attaque a pu visiblement se produire à cause d’un manque de vigilance des administrateurs réseaux concernés. Pour Cisco, qui a confirmé le problème, l’opération témoigne d’une évolution dans les méthodes utilisées par les pirates.

Les routeurs sont des éléments clés dans les infrastructures réseaux. Ils sont des portes d’entrées et sorties pour les données, souvent situés entre le réseau d’une entreprise et Internet. Leurs éventuelles failles sont du pain béni pour les pirates, et on rappellera comment les documents dérobés par Edward Snowden ont montré que la NSA était particulièrement intéressée par ces brèches. Exploitées, elles peuvent permettre d’en prendre le contrôle et donc de décider ce qui arrivera aux données qui y transitent.

Pas besoin de failles quand on possède les bons identifiants

Mais une faille de sécurité n’est pas forcément nécessaire pour pirater efficacement un réseau. Lors d’une attaque visant l’appropriation de données, les routeurs doivent pouvoir être contrôlés. Or, pour y parvenir, il n’existe que deux moyens : forcer les protections ou disposer des bonnes clés. Dans le cas abordé par FireEye, les pirates possédaient ces clés. Ils n’ont même pas eu besoin de chercher longtemps puisque les mots de passe avaient soit été inchangés, soit remplacés par d’autres très simples à deviner. Une histoire qui n'est pas sans rappeler le cas de certaines bases de données MongoDB au début de l'année.

Dans un rapport, FireEye indique ainsi que 14 routeurs, répartis dans quatre pays (Ukraine, Philippines, Mexique et Inde), ont vu leur configuration changée via des implants réalisés par des personnes extérieures. Les pirates ont en fait utilisé une fonctionnalité que Cisco décrit comme parfaitement documentée, et pour cause : il s’agit du mécanisme de mise à jour des firmwares.

Remplacer le firmware par une version malveillante

Dans le cas des routeurs trafiqués, le firmware s’appelle ROMMON, pour ROM Monitor. Les pirates ont donc préparé un nouveau système d’exploitation, nommé SYNful Knock, capable d’être piloté à distance et d’opérer à couvert. Avec les bons identifiants, ils ont pu utiliser la fonctionnalité de mise à jour et remplacer le firmware de base par celui qu’ils avaient trafiqué et qui était donc malveillant. Même sans exploitation de faille, le problème est selon FireEye assez sérieux : « L’impact en cas de découverte de cet implant sur votre réseau est sévère et indique probablement la présence d’autres implantations ou systèmes compromis. Cette porte dérobée fournit une large capacité pour l’attaquant à propager [la menace] et à compromettre d’autres systèmes et données critiques […] ».

Pour FireEye cependant, même si les pirates ont exploité une fonctionnalité parfaitement documentée, le résultat et les implications d’un firmware modifié pointent vers une équipe professionnelle, ayant une grande expérience de ce type de manipulation. Le rapport ne mentionne pas à qui appartiennent les routeurs, s’il s‘agit d’entreprises ou de structures publiques et/ou gouvernementales. Il y a clairement volonté de maitriser l’information à ce sujet.

Un firmware roi en sa demeure

On sait néanmoins que les 14 routeurs étaient tous l’un des trois modèles suivants : 1841, 2811 et 3825. Cependant, à cause de grandes similitudes entre les firmwares qui peuvent exister entre les modèles, FireEye indique que d’autres produits peuvent être touchés. Par ailleurs, le fonctionnement du firmware modifié est lui aussi connu. Sa première mission est de télécharger depuis différentes sources des modules complémentaires qui seront utilisés pour réaliser la suite des opérations. Il fournit également un accès complet dès lors que l’on possède le mot de passe de la porte dérobée. Les pirates ont donc la main et peuvent piloter le routeur via une console et Telnet.

Évidemment, firmware oblige, il est délicat de repérer l’activité et de s’en débarrasser facilement. Un redémarrage n’y change rien puisque le système est simplement rechargé, avec tous ses modules. D’autant qu’une fois le contrôle assuré sur le routeur, les pirates disposent d’une position privilégiée pour s’en prendre au reste du réseau, y compris les serveurs.

En fait, le vrai danger selon FireEye est que ce type d’attaque a bien été envisagé, mais qu’il s’agit de l’une des premières fois où l’on en voit une exploitation concrète. Conséquence, les chercheurs n’ont que peu de retours et d’informations, sinon celles liées à cette attaque spécifique. Il est donc recommandé aux administrateurs réseaux de vérifier la configuration de leurs routeurs, au minimum pour s’assurer que le mot de passe est suffisamment fort pour ne pas être trouvé aisément.

D'autant que le problème est visiblement plus important. Dans un récent article, Ars Technica indique qu'une équipe de chercheurs a modifié l'outil de scanner réseau open source Zmap pour lui faire envoyer des packets TCP SYN spécialement conçu. Ils ont découvert en effet que le firmware malveillant possédait une empreinte qui pouvait donc être recherchée. Quatre analyses ont été lancées sur l'ensemble de l'espace d'adresses IPv4 et 79 routeurs affectés ont été trouvés, répartis dans 19 pays, et dont 25 appartiennent à un unique fournisseur d'accès américain de la Côte Est.

Pour Cisco, le travail est à faire du côté des clients

Du côté de Cisco, on indique que la Product Security Incident Response Team (PSIRT) a averti récemment les clients concernés du problème. La société confirme bien la découverte de FireEye, qui illustre en fait une situation décrite il y a plus d’un mois, à l’occasion d’un billet de sécurité sur cette thématique. Cisco y abordait justement la manière dont les attaques avaient évolué contre son système d’exploitation IOS, que l’on trouve dans ses routeurs. Dommage cependant que ni le constructeur, ni FireEye n'aient indiqué depuis combien de temps ces firmwares étaient installés.

Pour Cisco, il est évidemment important de signaler qu’aucune faille de sécurité n’est exploitée dans ce type d’attaque. Sans réellement le dire de manière trop brutale, l’entreprise souligne qu’un pirate qui voudrait remplacer le firmware aurait besoin d’un accès physique au routeur ou... d’identifiants valides. Elle fournit également plusieurs documentations techniques (1, 2 et 3) abordant la manière de s’assurer de l’intégrité d’un équipement, les techniques pour renforcer la sécurité ou encore les méthodes pour détecter un comportement suspect et comment s’en débarrasser.

Enfin, FireEye semble certain de son côté que ce vecteur d’attaque n’en est qu’à ses débuts et que les cas d’utilisation ne peuvent que se multiplier. Les bénéfices sont assez importants selon le découvreur, permettant une grande flexibilité dans les actions entreprises, tout en garantissant un haut niveau de furtivité. L’ensemble des structures possédant de tels équipements doit donc s’adapter, mais le problème renvoie finalement à la manière globale dont la sécurité est envisagée, les systèmes étant souvent victimes d’un manque de préparation ou d’une faille humaine.

Commentaires (91)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Ça ou un autocollant sur l’engin.

De toute façon, un couple d’identifiants unique.

 

La minute d’histoire:

Dans les formations NetWare, il était bien dit de changer non seulement le mot de passe, mais aussi le nom du compte d’aministration avant de connecter le serveur au réseau.

votre avatar

Les ports des pare-feux : la belle blague !

on passe ce qu’on veut dans du HTTP/S

votre avatar

…. aussi.

Mais si les gars doivent et gérer le réseau , et le superviser (si ils le font , dans ce cas j’en doute) et s’occuper des serveurs , et faire la hot line … tu les blâmes toujours toi ? moi pas.

votre avatar

Si l’admin ne fait pas une commande verify pour vérifier au moins que le fichier uploadé est correctement uploadé, alors malheur à lui !

 L’interface chaise clavier est encore une fois au coeur du problème ^^

votre avatar

Se poser les bonnes questions …



Si ils ont pu produire un firmware (le mettre en place c simple) deux questions :





  • Est-ce une featur Cisco que de pouvoir customisé le firmware,

  • LE DevKit pour produire un firmware cisco est dans la nature, DONC est-ce voulu ou .. CISCO s’est fait plié lui aussi







    Voilà 2 questions intéressante … (réfléchir)

votre avatar

Et donc si chaque routeurs avait une configuration unique, ce serait moins grave que ces gars soient débordés.

 

Évidemment, ça ferait des frais pour Cisco, les pauvres…

votre avatar







KP2 a écrit :



Ouais mais pirater un routeur, c’est une chose. Remplacer son firmware, c’en est une sacrée autre a la fois en terme de developpement, de preparation et de moyens.

Non, serieusement, l’equipe qui a fait ca a passé un sacré cap…



Aujourd’hui, on savait les agences gouvernementales capables de faire ce genre de chose mais les equipes de pirates “classiques” restaient dans un mode beaucoup plus artisanal pour pas dire amateur en terme de niveau de developpement.





y’a pas que des team d’ados qui font du kiddy script

 

 Après souvent les gens qui sont “admins” d’une boite ne sont pas forcement super bien formé (enfin les moyennes ou petites boites). Du coups ils configurent les routeurs en laissant les mots de passe par défaut. Pire si un admin quitte la boite les autres ne changent pas les mots de passe et si le mec à quitté la boite en mauvais terme, il peut foutre le bordel (déjà rencontré le cas).


votre avatar

réponse vite fait, on n’en sait rien.

votre avatar

Ah bah sinon tu peux prendre des routeurs Juniper ou Huawei… Avec des OS proprio aussi <img data-src=" />



(a vérifier cependant pour Huawei, mais à priori je vois mal pourquoi il mettrait du libre). Et oui, c’est un problème assez sérieux de n’avoir que du proprio pour les gros routeurs <img data-src=" />

votre avatar

je sais.

votre avatar







ledufakademy a écrit :



Cela indique surement qu’il ont accès au devkit cisco (comment ??? là y’a une grosse question …) et sont capable de produire une version iOS customisé …(à moins que ce ne soit une feature fournit par cisco … gros doute)







Non, a ma connaissance, y’a rien de dispo officiellement pour triturer un firmware cisco.

Bon apres, c’est pas vraiment le firmware principal qui est touché mais le ROMmon qui est un truc se situant entre un gestionnaire de boot et un outil de recuperation de la derniere chance.

C’est le systeme le plus basique d’un routeur cisco donc c’est logique que ce soit lui qui est touché.

Mais ca veut dire quand meme que les mecs ont une belle capacité de reverse.



De plus, les routeurs touchés sont pas tous neufs non plus. Cisco a toujours eu une politique tres conservatrice dans ses configs par defaut a un point ou elles sont generalement hyper ouvertes et carrement pas securisées de base… Et coté firmware, ils ont mis un temps infini avant de signer leurs firmwares et valider cette signature à l’install. A une epoque pas si lointaine, on pouvait tres facilement briquer un routeur ou un switch en installant un mauvais firmware. N’importe quel equipement domestique aurait refusé la maj…


votre avatar







Ami-Kuns a écrit :



Et il marche mieux?<img data-src=" /><img data-src=" />







Probablement AHAHAH !!


votre avatar







darkbeast a écrit :



y’a pas que des team d’ados qui font du kiddy script







Non mais il n’empeche que les teams de pirates codent generalement d’une maniere assez artisanale. D’ailleurs, quand les 1ers virus d’agences gouvernementales ont ete decouverts (Stuxnet par exemple), ce qui a frappé immediatement les analystes etait la haute sophistication du virus, son architecture de haut niveau, bien pensée, hyper modulaire et une qualité de code tres pro.

Meme notre bon “Babar” national a ete reconnu comme etant une belle piece de soft.



Si ca frappe, c’est que les autres faisaient habituellement des trucs beaucoup plus amateurs…


votre avatar

Poiur l’avoir vécu c’est souvent CISCO qui demande pour des raison de support de garder un mot de passe par défaut (pas forcément celui de base) sur tous les routeurs et de ne pas en changer sinon il ne garantissent plus le support d’urgence (en gros il ne seront plus capable de se connecter rapidement aux routeurs) Et ça en termes sécu c’est un GROS problème.

votre avatar







darkbeast a écrit :



Après souvent les gens qui sont “admins” d’une boite ne sont pas forcement super bien formé (enfin les moyennes ou petites boites). Du coups ils configurent les routeurs en laissant les mots de passe par défaut. Pire si un admin quitte la boite les autres ne changent pas les mots de passe et si le mec à quitté la boite en mauvais terme, il peut foutre le bordel (déjà rencontré le cas).







Ben le truc est que bien souvent, les “admins” de PME sont des mecs qui auraient plus leur place dans une boutique d’informatique de quartier a bricoler des PCs pour les gamers du coin que gerer un parc, des serveurs, des backups et un reseau.

Rien que l’expression “administrateur systeme et reseau” est ridicule. C’est comme si je me presentais en disant que je suis “plombier et électricien”. C’est possible mais y’a forcement une des specialités que tu maitrises vachement moins bien que l’autre.

Et dans les PME, c’est toujours le réseau qui est le plus mal maitrisé. Deja parce que les besoins sont assez faibles generalement donc les moyens et le temps consacrés sont faibles eux aussi malgré que de bonnes competences sont necessaires pour bien gerer donc fatalement y’a des manquement souvent graves.


votre avatar

c’est quoi la différence entre faire un firmware pour routeur cisco, et faire un firmware custom pour ps3

votre avatar







ksnap a écrit :



c’est quoi la différence entre faire un firmware pour routeur cisco, et faire un firmware custom pour ps3





Ben y en a un c’est grave, l’autre osef <img data-src=" />


votre avatar

S’ils sont traités comme des esclaves par la direction, je ne les blâmerait pas. Mais changer un mot de passe, ça prend 15 sec à faire (estimation au doit mouillé, si je me trompe, désolé), ils n’ont aucune excuse s’ils ne le changent pas.

votre avatar

Aucune si ce n’est que le matériel d’une console est assez statique. Sur un routeur type FAI, il sont plus gros et modulaire. Aussi les firmware sont prévus pour les législations locales. A une époque lointaine tu devais acheter une option SSH parce qu’en france on ne pouvait pas faire du SSH 256bits. Bref a part le matériel et sa maitrise c’est pareil que de faire un OS. D’ailleurs “IOS”.

&nbsp;

votre avatar

Me fait penser à la fois où j’ai ramené une Livebox, après avoir personnellement fait des tests qui pointaient vers un problème matériel dans la partie Wifi. Surprise de la personne en boutique chargée de passer les tests de routine: Le mot de passe administrateur avait été changé.

votre avatar

Là on est clairement dans le périmètre facteur Humain.

&nbsp;

L’équipement est mal configuré =&gt; Facteur humain

L’accès se fait via des MDP facilement traovuable =&gt; Facteur Humains

Un changement de firmeware sur Cisco impose quand même un redémarrage, et dans les log c’est clairement visible que le redémarrage aurait été imposé via une commande de type Restart

&nbsp;

&nbsp;=&gt; Facteur humain par mauvaise supervision de parc

&nbsp;

&nbsp; Ensuite modifié un firmware c’est pas comme aussi simple que ça ….

votre avatar







ledufakademy a écrit :



“Dommage cependant que ni le constructeur, ni FireEye n’aient indiqué depuis combien de temps ces firmwares étaient installés.”



Quand tu prends connaissance d’une faille , “les malveillants” sont déjà en train d’en exploiter une autre … simple non ?



iOS a déjà été victime de faille beaucoup plus grave que cette dernière (qui n’en n’ai pas réellement une) : revoir l’année 2003 , là c’était du très lourd !





iOs n’existait pas en 2003.<img data-src=" />


votre avatar

<img data-src=" />

il voulait probablement dire IOS <img data-src=" />

votre avatar

encore faut-il avoir les logs ^^

&nbsp;



&nbsp;suis pas expert en réseau, mais chez nous sans serveur syslog les amins réseaux sont presque aveugle tellement il n’y a pas de rétention sur les switch/routeurs

votre avatar

Et dire que tout le monde se paluche sur la société des objets connectés… Ça promet!!!

votre avatar







RuMaRoCO a écrit :



Là on est clairement dans le périmètre facteur Humain.

&nbsp;

L’équipement est mal configuré =&gt; Facteur humain

L’accès se fait via des MDP facilement traovuable =&gt; Facteur Humains

Un changement de firmeware sur Cisco impose quand même un redémarrage, et dans les log c’est clairement visible que le redémarrage aurait été imposé via une commande de type Restart

&nbsp;

&nbsp;=&gt; Facteur humain par mauvaise supervision de parc

&nbsp;

&nbsp; Ensuite modifié un firmware c’est pas comme aussi simple que ça ….





C’est bien rigolo, mais bon, si j’ai les moyens de flasher ton routeur avec mon propre firmware… modifier le le fichier de log&nbsp;<img data-src=" /> …


votre avatar
votre avatar

oui : ça promet !

Surtout avec les économies de fonctionnement demandées à tous les étages d’une DSI , ca promet !!

votre avatar

c’est clair : un sinistre en sécurité reste un sinistre … log ou pas log (quand y’en a d’exploitable !)

votre avatar

Oui pas de rétention et très peu d’info en terme de logs (quand il y en a) car les routeurs sont vite surchargé si tu met le niveau max de verbosité. Ils ne sont pas conçus pour ça.

votre avatar

j’ai déjà dit et je redis … internet n’a pas été conçu pour la sécurité. Mais pour le partage des informations et un passage coute que coute de l’information . C’est de part sa conception.

votre avatar

Valable aussi pour Zyxel et son ZinOS.

votre avatar







ledufakademy a écrit :



A propos de routeur :



Savez-vous comment virer sa livebox play tout en concernant la tv (via sat) , vod et le phone IP ? (je peux pas aller chez free sinon je perds le VDSL 60Mbits)



TV par sat avec du VDSL? <img data-src=" />

Pour la TV par DSL tu peux passer par un modem-routeur VDSL qui gère les VLAN, et le téléphone, ligne OVH (1€ HT par mois la ligne IP).


votre avatar







ledufakademy a écrit :





  • 2000



    Ca fait donc -1000 pour catseye.





    Dans ce cas,il ne me reste plus qu’a me dégoter des actifs réseaux entièrement Opensource massivement utiliser dans le monde de l’entreprise et la paix,la prospérité,la fécondité submergera le monde entier pour les siècles des siècles !


votre avatar

Quand je vois les problèmes chez les firmware pro, j’ose à peine imaginer la passoire que doit-être OpenWRT

votre avatar

C pas trop touchy les vlan à configurer avec orange ?



(je suis hs désolé)

en gros si je fous un modem zyxel (VDSL) cela pourrai le faire ?(pas de souci pour la conf d’un fw ou du réseau pour moi)

votre avatar







DarKCallistO a écrit :



Dans ce cas,il ne me reste plus qu’a me dégoter des actifs réseaux entièrement Opensource massivement utiliser dans le monde de l’entreprise et la paix,la prospérité,la fécondité submergera le monde entier pour les siècles des siècles !







T’avais juste qu’à utiliser OpenSSL ces dix dernières années … <img data-src=" />


votre avatar

Sur le sujet beaucoup se trompent de combat.

&nbsp;

Le pb. ne vient pas de CISCO et de ses IOS (oui c’est IOS pour internet operating System ; nom qui est la propriété de Cisco et Apple emploi imporprement depuis …), mais la (mauvaise) configuration de ces derniers par leurs PROPRIETAIRES.



niveau config. les accès et les privilèges se paramètrent avec la même philo que tout systeme Unix : User et super User.&nbsp; etc.



La sécurisation des accès des consoles Vty peut aller très long&nbsp; ; Mais il faut bien y réfléchir.

&nbsp;J’ai beau avoir une super alarme avec camera et tout et tout, si je laisse “0000” comme code pour accès aux fonctions évoluées, faut pas que je m’étonne d’être “visité”…

votre avatar

Voici un peu de doc :https://lafibre.info/adsl/modem-tiers-compatible-vdsl2/



Les modems de Zyxel sont apparemment compatibles. Et coté Vlan c’est apprement pas trop complexe d’ailleurs celui utilisé pour le net c’est le 835 (héritage de l’ADSL avec les VP/VC 835)



Y’a un sujet sur le forum qui devrait t’aider :forum.nextinpact.com Next INpact



C’est pour la fibre, mais c’est la même config pour le VDSL2. Par contre il semble qu’il y est des problème avec la VOIP (c’est le truc le plus compliqué à faire marcher).

votre avatar

Perso, c’est plutôt dans les grosses boîtes (avec pleins d’intervenants/consultants) que j’ai vu les plus belles configs “passw0rd” ou les mots de passe envoyés par EMail (pour que tous les gars du support l’aie au cas où)…

&nbsp;

Mais bon, chacun ses expériences <img data-src=" />

votre avatar

Merci Renaud, c’est ce que j’avais cru lire sur la voip … et ca, cela va etre dur de m’en passer .

votre avatar

oui c bizarre mais en province on a ca : dslam fibré , proposant du vdsl mais pas de tv par adsl(vdsl), j’ai du poser une parabole.

votre avatar

Je viens de creuser un peu plus le problème de la VOIP et en plus de ne pas dévoiler les info SIP (ce qu’on savait), orange utilises une méthode d’authentification modifiée ! Et c’est quasiment impossible à faire marcher sans la LB sauf modifs et recherches avancées.



Voici un article très intéressant (et un boulot titanesque derrière) :http://x0r.fr/blog/36 ainsi que celui- cihttp://x0r.fr/blog/37 pour avoir une solution.



Franchement chapeau bas pour le boulot accompli <img data-src=" /> <img data-src=" />

votre avatar







ledufakademy a écrit :



C pas trop touchy les vlan à configurer avec orange ?



(je suis hs désolé)

en gros si je fous un modem zyxel (VDSL) cela pourrai le faire ?(pas de souci pour la conf d’un fw ou du réseau pour moi)



Il y a tous les paramétrages dispos sur le web, récupérés par d’autres personnes et gracieusement mis en ligne sur divers sites & forums, pas de difficulté de ce côté <img data-src=" />









ledufakademy a écrit :



Merci Renaud, c’est ce que j’avais cru lire sur la voip … et ca, cela va etre dur de m’en passer .



Orange ne fournit AUCUNE info sur ta connexion, c’est le pb… Du coup comme j’ai dit =&gt; ligne OVH, 1€ HT par mois et un tél IP à mettre au cul de la box (ou un boîtier tél IP (prêté par OVH) et un tél classique) <img data-src=" />









ledufakademy a écrit :



oui c bizarre mais en province on a ca : dslam fibré , proposant du vdsl mais pas de tv par adsl(vdsl), j’ai du poser une parabole.



S’il ne proposent toujours pas de TVoIP, c’est que ton DSLAM n’est pas fibré, tout simplement (il passe par boucle locale radio ou par lignes spécialisées).


votre avatar

Ben bon ça n’aura pas duré bien longtemps :http://x0r.fr/blog/47



<img data-src=" /> Orange !



Ils font vraiment tout pour nous empêcher d’utiliser notre ligne VoIP comme on le voudrait ! <img data-src=" />

votre avatar







ledufakademy a écrit :



A propos de routeur :



Savez-vous comment virer sa livebox play tout en concernant la tv (via sat) , vod et le phone IP ? (je peux pas aller chez free sinon je perds le VDSL 60Mbits)







Free propose aussi le VDSL hein



Edit : mais y a ptet un détail qui m a échappé.


votre avatar

Généralement c’est un mot de passe par client qui est le même sur tous ses routeurs et qu’il ne faut pas changer sous peine de ne plus être supporté (le mot de passe peut-être complexe) donc c’est moins pire mais pas jojo non plus.

&nbsp;



&nbsp;Et sinon les équipements (enfin certains et à une certaines époque) sont connu pour avoir des comportement très étranges dans certaines situation, comme par exemple ouvrir des ports exotiques à réception de trames réseaux particulières… De la a dire qu’ils sont backdoorés il n’y a qu’un pas aisément franchi…

&nbsp;



&nbsp;Me fait marrer l’ANSSI qui déconseille l’achat d’équipement Chinois Huaiwei ou ZTE aux OIV et qui dit rien sur CISCO. Bon le but c’est de pousser Alcatel m’enfin…

votre avatar

+1 mais les gens ne le note pas, et se retrouvent bloqué à la seconde authentification <img data-src=" />

votre avatar

WOW ! si les mecs commencent a manipuler les firmwares de routeurs, on est pas sorti de l’auberge…

Faut deja avoir de sacrés moyens pour faire ce genre de chose…

votre avatar

Tant qu’il restera un facteur “utilisateur”, il restera de toute façon des moyens de pirater…



Que ça soit par flemme, ou par obligation (mais si ouvre ces ports en sortie c’est chiant sinon!) ou par oublis…





Mais il est clair que faire un firmware modifié quand même? C’est du sacré boulot.

Le firmware est opensource?



Il n’y a pas de vérification de la légitimité du firmware? (signature)

votre avatar

On a les noms des boulets? <img data-src=" />

votre avatar

Non, IOS, c’est du code proprio

votre avatar

Pfiou.. déjà qu’on pouvait pas faire confiance aux FAI à cause des divers patriot act / magouilles marketing, et maintenant c’est le réseau technique lui même qui est compromis…

votre avatar

Etonnant, ça me rappelle cette volonté de la FCC concernant les firmware des appareils qui peuvent faire du wifi.&nbsp; hackaday.com/2015/09/02/save-wifi-act-now-to-save-wifi-from-the-fcc/

&nbsp;

Cisco, partenaire de la FCC ?

votre avatar







KP2 a écrit :



WOW ! si les mecs commencent a manipuler les firmwares de routeurs, on est pas sorti de l’auberge…

Faut deja avoir de sacrés moyens pour faire ce genre de chose…





Il faut surtout que le routeur soit mal configuré protégé, c’est un peu comme le partage administratif sous windows quand les gens avaient des modems et pas des box, tu rentrais super facilement sur le disque d’une personne à distance.


votre avatar

Je n’ai jamais compris les mots de passe par défaut partout.

&nbsp;Tant que l’appareil n’est pas configuré le mot de passe (et le user?) devrait être généré aléatoirement et fourni à la première demande d’authentification (elle sans mot de passe). Cela éviterait que le souci du c’est pas ma faute c’est le client, qui n’a pas changé le mot de passe.

votre avatar

Et il marche mieux?<img data-src=" /><img data-src=" />

votre avatar

“Dommage cependant que ni le constructeur, ni FireEye n’aient indiqué depuis combien de temps ces firmwares étaient installés.”



Quand tu prends connaissance d’une faille , “les malveillants” sont déjà en train d’en exploiter une autre … simple non ?



iOS a déjà été victime de faille beaucoup plus grave que cette dernière (qui n’en n’ai pas réellement une) : revoir l’année 2003 , là c’était du très lourd !

votre avatar

vive le code proprio ! <img data-src=" />

votre avatar

Cela indique surement qu’il ont accès au devkit cisco (comment ??? là y’a une grosse question …) et sont capable de produire une version iOS customisé …(à moins que ce ne soit une feature fournit par cisco … gros doute)

votre avatar

Non, vive les feignasses qui laissent une config par défaut surtout ! <img data-src=" />

votre avatar







darkbeast a écrit :



Il faut surtout que le routeur soit mal configuré protégé, c’est un peu comme le partage administratif sous windows quand les gens avaient des modems et pas des box, tu rentrais super facilement sur le disque d’une personne à distance.







Ouais mais pirater un routeur, c’est une chose. Remplacer son firmware, c’en est une sacrée autre a la fois en terme de developpement, de preparation et de moyens.

Non, serieusement, l’equipe qui a fait ca a passé un sacré cap…



Aujourd’hui, on savait les agences gouvernementales capables de faire ce genre de chose mais les equipes de pirates “classiques” restaient dans un mode beaucoup plus artisanal pour pas dire amateur en terme de niveau de developpement.


votre avatar

Quoi ????

&nbsp;Nimd@ c’est pas un super mot de passe ??? &nbsp;

&nbsp;

&nbsp;Moi ça ne m’étonnes qu’à moitié.

&nbsp;J’ai déjà rencontré du admin/admin sur des 4948 chez mes clients<img data-src=" />

votre avatar

Rien de mieux qu’un bon firmware open-source type DD-WRT. Au moins à la première ouverture de la page de configuration, on est forcés à changer à la fois login et mot de passe administrateur.

votre avatar

Que ce qui est appelé le “devkit” de Cisco (ou plus simplement le code source de IOS & co) soit dans la nature, j’y crois pas. (c’est jamais impossible, mais je n’y crois pas).

&nbsp;Y’a beaucoup plus simple ; le reverse engineering, ça existe. L’IOS n’a pas été chamboullé en profondeur. Ils se sont contenté de rajouter 1 ou 2 fonctionnalitées précises qui les arrangeaient.

&nbsp;Suffisait de rajouter des greffons sur des fonctions précises préexistante. Même avec une base en assembleur tu peux toujours remonter si tu vises les bons endroits.

Ca me parait nettement plus probable que le code source de cisco en open bar.&nbsp;

votre avatar

Ouai, même réflexe quand j’ai vu le titre de l’article.

&nbsp;

Ou alors les “pirates” (hackers) sont de la FFC et ont voulu montrer que c’est possible, même si “il s’agit de l’une des premières fois où l’on en voit une exploitation concrète”.

&nbsp;

&nbsp;Bref, c’est quand même troublant que ça tombe à a peine une semaine d’intervalle…

votre avatar

Aucun rapport avec le libre…

Et d’ailleurs sur les cisco sg/sf tu dois aussi changer le mot de passe par défaut à la première connexion…



Sur du matos plus lourd comme les catalyst et supérieur, la gestion de la sécurité est “déléguée” à l’utilisateur qui n’est pas sensé être une quiche…

votre avatar







ledufakademy a écrit :



vive le code proprio ! <img data-src=" />







Proprio ou opensource ça ne fait aucune différence pour un hacker. Sauf qu’en opensource il peut utiliser son debugger en voyant directement le code plutôt que de l’assembleur sans aucun commentaire, il trouvera éventuellement une faille plus rapidement dans le code.

Ensuite si tu penses qu’en opensource la réactivité est plus rapide, là aussi tu fais erreur. Même si un autre hackeur trouve la même faille dans le code, et le fix, tu verras pas les mises à jour poussées partout avant des mois voire des années. Donc proprio ou opensource, la différence c’est la façon d’exploiter les failles et comment on les découvre, pour tout le reste c’est bonnet blanc, blanc bonnet.


votre avatar







Informel a écrit :



Poiur l’avoir vécu c’est souvent CISCO qui demande pour des raison de support de garder un mot de passe par défaut (pas forcément celui de base) sur tous les routeurs et de ne pas en changer sinon il ne garantissent plus le support d’urgence (en gros il ne seront plus capable de se connecter rapidement aux routeurs) Et ça en termes sécu c’est un GROS problème.





En fait la faille c’est Cisco ? Car dans ce cas, TOUS les routeurs sont accessibles du moment que tu as le password CISCO.



Et je doute que la NSA ne puisse l’avoir.



Bref, un routeur CISCO est un routeur backdooré…


votre avatar

c’est un Unix (bsd ou dérivé) dessous, j’en avais parlé avec les gars de Villeurbanne (Lyon) à l’époque ou je me servait de leur matos de prêt pour donner des cours sur le paramétrage et le déploiement de parefeu.

votre avatar







levhieu a écrit :



Surprise de la personne en boutique chargée de passer les tests de routine: Le mot de passe administrateur avait été changé.



J’ai arrêté au bout du 10e réinit de ma box en 3 mois.

Déjà que je dois à chaque fois remettre celui du wifi…

(je te rassure, il y a redirection donc interface non accessible de l’extérieur)


votre avatar







rm3l a écrit :



Rien de mieux qu’un bon firmware open-source type DD-WRT. Au moins à la première ouverture de la page de configuration, on est forcés à changer à la fois login et mot de passe administrateur.





Rien ne t’empêche de mettre root/admin&nbsp;<img data-src=" />


votre avatar
votre avatar

admin / admin ?

votre avatar

A propos de routeur :



Savez-vous comment virer sa livebox play tout en concernant la tv (via sat) , vod et le phone IP ? (je peux pas aller chez free sinon je perds le VDSL 60Mbits)

votre avatar

Il n’y a pas un mot de passe unique pour tous les clients… <img data-src=" />

Et c’est toujours pareil : si tu veux qu’un tiers te supporte, il lui faut bien les accès pour intervenir rapidement… confiance.

votre avatar







catseye a écrit :



Proprio ou opensource ça ne fait aucune différence pour un hacker. Sauf qu’en opensource il peut utiliser son debugger en voyant directement le code plutôt que de l’assembleur sans aucun commentaire, il trouvera éventuellement une faille plus rapidement dans le code.

Ensuite si tu penses qu’en opensource la réactivité est plus rapide, là aussi tu fais erreur. Même si un autre hackeur trouve la même faille dans le code, et le fix, tu verras pas les mises à jour poussées partout avant des mois voire des années. Donc proprio ou opensource, la différence c’est la façon d’exploiter les failles et comment on les découvre, pour tout le reste c’est bonnet blanc, blanc bonnet.





+1000


votre avatar

  • 2000



    Ca fait donc -1000 pour catseye.

votre avatar

Merci pour ces précieuses infos : j’aime le factuel !<img data-src=" />

votre avatar

oui , sur le nra free n’a pas d’équipement : donc pas de dégroupage donc pas de VDSL !



Ovh le fait mais n’ouvre pas les tuyaux en grands vs Orange !

votre avatar

Autant pour ceux qui mettent des mots de passe nuls, on ne peut rien faire, autant cisco pourrait très bien livrer ces routeurs avec des mots de passe uniques. Si même orange est capable de le faire avec ses livebox, je pense que cisco.

votre avatar

Sinon, on peut toujours utiliser du D-Link pour être plus safe. <img data-src=" />

votre avatar

Ouai enfin c’est pas d’hier que des versions “custom” d’IOS et meme de CATOS se trimbale sur le net.



Principalement depuis la version 15 pour contourner les “unified features” qui te demandent une license pour chaque feature high end.

&nbsp;

Apres les mecs qui se sont fait haxx sont quand meme des branquignole puisque les 1841,2811 et 3825 ne sont pas redondant et upgrader le firmware implique un reboot.&nbsp;

&nbsp;

&nbsp;

N’importe quel soft de monitoring basique te previens et la c’est ton boulot d’investiguer.

votre avatar

Un device Cisco qui first boot te presente un wizzard qui securise le truc de maniere correcte … si tu lui dit pas que tu veux tout faire manuellement.

votre avatar







Patch a écrit :



S’il ne proposent toujours pas de TVoIP, c’est que ton DSLAM n’est pas fibré, tout simplement (il passe par boucle locale radio ou par lignes spécialisées).





En fait, Orange peut proposer de la TVoIP sur un NRA à une seule condition: Avoir pris les dispositions pour que la concurrence puisse la proposer aux même coûts… Ce qui veut dire: Fibre disponibles (en LFO FT/Orange) pour les opérateurs qui peuvent proposer de la TVoIP (donc à peu près 3 fibres disponibles… <img data-src=" />, si je ne me trompe…), local de dégroupage apte à recevoir les équipements des autres opérateurs… Il se peut donc que le NRA soit fibré, mais que les autres impératifs ne soient pas réalisés, ce qui fait que le VDSL est “jouable”, car le débit de la fibre est largement suffisant, mais pas de TVoIP, car pas autorisée…

&nbsp;


votre avatar

Wow! Le nombre de conneries qu’on peut lire ici, dès que ça parle sécu…

&nbsp;

C’est clair qu’un attaquant qui réécrit un firmware, il va se baser sur des mots de passe faibles pour le déployer.

&nbsp;Entre autres.

votre avatar

Y’as du récidiviste, mais oui on préfère se réunir entre nous tellement tout le monde il est beau et tout le monde il à raison ici et ailleurs, sans connaitre les tenants et aboutissants, ou sans se remettre dans son ignorance. Le savoir c’est avant tout admettre d’avoir tord.

&nbsp;

&nbsp;Pourtant le titre est écrit en gras et gros.

&nbsp;&nbsp;

On se voit au prochain hack.lu dans un mois nextinpact ou vous avez besoin d’un pass ?

votre avatar

c’est pas sorti en 2007 ios ?

votre avatar

cisco ce n’est pas la même cible que les box d’orange

votre avatar

Je ne crois pas que quelqu’un ait précisé ce point mais par défaut et si on ne fait pas le wizard, un routeur Cisco n’a pas de compte utilisateur défini mais demande pourtant l’authentification pour les connexions vty (telnet/SSH). Il est donc impossible de s’y connecter à distance avec la conf de base (message d’erreur du style : “password required but none set”).



Il n’y a pas de login/mdp par défaut, donc si l’admin met un username/password bidon, ou pire, juste un password sur les vty c’est juste un problème d’interface chaise/clavier…

&nbsp;

!conf par défaut :

R1#sh run | b vty

line vty 0 4

&nbsp;login

!

votre avatar

“Dans le cas des routeurs trafiqués, le firmware s’appelle ROMMON, pour

ROM Monitor. Les pirates ont donc préparé un nouveau système

d’exploitation, nommé SYNful Knock, capable d’être piloté à distance et

d’opérer à couvert. Avec les bons identifiants, ils ont pu utiliser la

fonctionnalité de mise à jour et remplacer le firmware de base par celui

qu’ils avaient trafiqué et qui était donc malveillant.”

&nbsp;

&nbsp;C’est faux.

&nbsp;



Il&nbsp; y a confusion entre la ROMMON malveillante et synful knock. Gosh.

Des pirates remplacent le firmware de routeurs Cisco mal configurés

  • Pas besoin de failles quand on possède les bons identifiants

  • Remplacer le firmware par une version malveillante

  • Un firmware roi en sa demeure

  • Pour Cisco, le travail est à faire du côté des clients

Fermer