Si vous êtes un client du FAI anglais Virgin Media et que vous vous connectez avec Super Hub 2 ou Super Hub 2ac, vous serez heureux de savoir que l’entreprise a corrigé une importante faille de sécurité en mai dernier.
Gentiment, la mise à jour automatique de Virgin via le protocole de gestion à distance TR-069 signifie que ce problème devrait déjà être réglé pour tous les utilisateurs qui n’auraient pas allumé leurs routeurs pendant plusieurs semaines.
Malheureusement, Naked Security a également appris qu’un grand nombre de ces routeurs, encore utilisés par la majorité des cinq millions d’abonnés de Virgin, ont un problème connu et plus critique, qui nécessite une intervention immédiate de l’utilisateur.
Avant de détailler, nous allons vous rappeler rapidement la dernière faille de sécurité, qui a été découverte par des chercheurs travaillant pour le cabinet-conseil en sécurité britannique : Context Information Security.
Le problème concerne la façon dont la conception du logiciel du routeur implémente la création d’une sauvegarde de configuration, ce qu’un utilisateur sera amené à faire pour rétablir rapidement les paramètres spécifiques, si une réinitialisation devenait nécessaire.
Il s’avère que si ce fichier est chiffré, la clé est intégrée dans le code binaire. On peut s’attendre à cette procédure, mais le problème est que cette clé est la même pour chaque configuration sur chaque routeur, ce qui signifie que n’importe qui réussissant à la craquer (comme l’ont fait les chercheurs) aura accès à chaque routeur en utilisant le même firmware.
Peu importe si l’utilisateur a créé un fichier de sauvegarde ou non, c’est la simple possibilité de créer une sauvegarde, que le cybercriminel a, qui est importante. Une fois qu’il a fait cela, il peut simplement écraser la configuration du routeur par la sienne.
Une objection évidente est que, pour faire cela, il a besoin d’un accès à distance au niveau de l’interface de configuration du routeur. Il existe un certain nombre d’options plutôt compliquées pour réaliser une telle action, mais il existe aussi une alternative plus simple, qui n’implique aucun piratage : entrez simplement le nom d’utilisateur et le mot de passe par défaut du routeur.
Incroyablement, le Super Hub 2 (à partir de 2013) et le Super Hub 2ac (2015) sont livrés avec des informations d’identification par défaut vulnérables, et qui le resteront à moins que les utilisateurs ne les changent. Certains le feront mais d’autres ne le feront pas.
La seule sécurité supplémentaire sur le Super Hub 2ac est qu’il demande le code PIN WPS (Wi-Fi Protected Setup). Cette étape supplémentaire rend les choses plus difficiles mais n’empêche pas une attaque par brute force, compte tenu de la taille limitée de la chaîne de caractères.
Quel est le problème majeur : le bug au niveau de la sauvegarde de la configuration ou les vulnérabilités des données d’identification ? Sans doute, ce dernier.
Il existe encore d’autres problèmes. Comme déjà indiqué, la mise à jour s’effectue automatiquement, ce qui signifie que l’utilisateur de base ne doit rien faire pour recevoir un patch de sécurité. Apparemment, Context Information Security a informé Virgin Media du problème en octobre 2016, mais l’entreprise n’avait pas fini de mettre à jour les routeurs jusqu’au mois dernier.
Ce délai est dû à la nécessité d’évaluer, par Virgin, le défaut avant de le renvoyer au fabricant des routeurs (dans ce cas, Netgear) afin d’élaborer un patch. Ensuite, ce dernier sera transmis à Virgin, qui devra le déployer au niveau des millions de routeurs, et ce de façon progressive.
Le principal chercheur de Context, Andy Monaghan a déclaré :
Alors que les routeurs fournis par le FAI comme celui-ci sont généralement soumis à plus de tests de sécurité qu’un routeur domestique classique, notre étude a montré qu’un cybercriminel déterminé pouvait trouver des défauts comme celui-ci, en utilisant un équipement peu coûteux.
Les utilisateurs de Super Hub 2 qui auront installé la mise à jour, devraient maintenant avoir la version v1.01.33, alors que pour Super Hub 2ac, ils devraient avoir la version v2.01.11 (v1.01.14 pour les zones de partage Wi-Fi). Les utilisateurs Virgin qui utilisent le Super Hub 3 2016 (fabriqués par Arris) ne sont pas concernés par ce problème. Ce produit fourni également de solides identifiants par défaut. Les numéros de version peuvent être trouvés dans la rubrique de statut principal, tandis que le temps de mise à jour sera noté dans les fichiers log.
Le message est simple : si vous possédez un de ces routeurs, vérifiez que vous avez défini de manière fiable et robuste un mot de passe et une combinaison avec un nom d’utilisateur. Ne rendons pas la vie trop facile aux cybercriminels !
Billet inspiré de Virgin Super Hub 2 serious security bug – act now to close the hole, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.