Le chercheur en sécurité Drew Green a pénétré dans un système de panneau numérique connecté à Internet grâce à un mot de passe admin par défaut au niveau de l’interface web : à savoir un mot de passe facilement modifiable lui permettant de pénétrer dans l’interface web, au niveau de laquelle il a trouvé toute une série de vulnérabilités qui pouvait permettre à un attaquant malveillant d’uploader toutes les horreurs qu’ils souhaitait afficher sur n’importe quel panneau numérique !
Vendredi, 90 jours après que Green ait révélé les vulnérabilités du fabricant de système de panneau numérique, il a publié les détails de ses découvertes.
Il a isolé le système d’affichage d’un client lors d’un test de pénétration complet, et ce système se trouvait initialement sur le réseau. Il n’a rien trouvé d’autre à explorer à ce moment-là. Green a donc plongé dans le système d’affichage, nommé Carousel, qui provient de Tightrope Media Systems (TRMS) et que son client utilisait sur un périphérique fourni par TRMS qui, selon Green, est “essentiellement un PC x86 sous Windows 10”.
D’après ce que Green a compris, son client avait dans le hall d’entrée un téléviseur branché au système afin d’afficher des informations sur l’entreprise : par exemple, lorsque les stagiaires venaient d’être diplômés, les noms et les photos des nouveaux employés, et enfin les récompenses que l’entreprise avait reçues. Les systèmes peuvent également diffuser de l’audio, des vidéos ou des images : c’est un bon moyen de donner aux clients une bonne première impression lorsqu’ils visitent votre entreprise.
Ou encore, un bon moyen d’attirer l’attention des visiteurs si un pirate qui a découvert comment uploader n’importe quelle horreur !
En fouillant le réseau, Green a trouvé une vulnérabilité (CVE-2018-14573) dans la version du système de son client qui lui permettait de lire les fichiers système. Il a essayé de lire des fichiers protégés, tels que la base de données SQL, mais s’est rendu compte qu’il ne le pouvait pas. Ce qu’il pouvait faire, cependant, était de s’envoyer un fichier sauvegardé par email.
Ce n’était pas exactement la base de données qu’il recherchait, mais plutôt une base de données secondaire … une dépourvue de toute authentification utilisateur. Ainsi Green a décidé de prendre une autre chemin et a trouvé un autre moyen de pénétrer dans le système : à savoir via une interface permettant aux utilisateurs d’uploader des “bulletins”, qui sont les éléments envoyés au système de panneau numérique.
Il acceptait les fichiers ZIP, mais il a rejeté ce que Green lui avait fourni. Il a pu néanmoins exporter l’un des fichiers ZIP existants au sein du système pour jeter un coup d’œil sur la structure de ces derniers. Ensuite, il en a profité pour intégrer deux fichiers .ASPX malveillants et a essayé d’uploader le fichier ZIP, mais pas de chance : même s’il a pu uploader les fichiers piégés, il n’a pas pu les localiser ensuite dans le système.
Jusque-là, il a constaté que lorsque les fichiers étaient insérés dans les archives ZIP, leur séparateur de chemin s’inversait : là où vous vous attendriez à avoir une barre oblique inversée standard (\), il a constaté que le système l’avait modifiée en en barre oblique normale (/).
Cela ne peut pas être aussi simple !
Green a changé le caractère avec un éditeur hexadécimal. Sa pensée était la suivante :
A coup sûr, cela ne fonctionnera pas.
Mais en fait, cela a fonctionné !
Cette simple modification a libéré ses fichiers malveillants : ils ont été intégrés dans le système Carousel, puis dans la liste des bulletins principaux, d’où ils pouvaient être exécutés via un shell web.
Green a découvert une autre vulnérabilité, CVE-2018-18931, qui lui permettait de transférer les privilèges d’un compte utilisateur vers ceux d’un administrateur local. Pour exploiter ce bug, il avait besoin de redémarrer le système, mais les comptes basiques ne peuvent pas le faire. Alors, au lieu de cela, il a envoyé une commande pour forcer un redémarrage au niveau du serveur, et le tour était joué !
Une fois le système redémarré, j’ai lancé une commande pour afficher les utilisateurs locaux et les administrateurs du système et j’ai constaté que mon compte avait été créé et qu’il était maintenant de type administrateur local !
Green a informé TRMS des vulnérabilités au début du mois de novembre. La société a répondu le 13 novembre en lui indiquant qu’elle pensait que les bugs avaient été corrigés, et en lui demandant le numéro de la version de son client, au cas où le client disposerait d’une version plus ancienne et non corrigée. Cependant, TRMS n’a pas demandé de détails sur les bugs à ce moment-là.
Mais mardi, quatre jours après la publication de ses conclusions, TRMS a remercié Green pour son travail et pour avoir aidé l’entreprise à sécuriser le système de panneau numérique. Lundi, TRMS a publié un article knowledgebase détaillant les solutions permettant d’atténuer les vulnérabilités découvertes par Green : CVE-2018-14573, CVE-2018-18929, CVE-2018-18930 et CVE-2018-18931.
Un correctif sera envoyé à tous les clients plus tard cette semaine, a déclaré TRMS à Green.
Quelle est la dangerosité d’un panneau numérique piraté ?
Green a utilisé le moteur de recherche Shodan pour avoir une idée de la quantité de produits Carousel installés et exposés sur Internet. La réponse : beaucoup ! Certains appartenaient à des municipalités ou à des établissements d’enseignement supérieur. On peut donc imaginer que des systèmes Carousel vulnérables pouvaient être utilisés dans des zones où ils étaient visibles par un très grand nombre de personnes.
Green n’a tenté d’accéder à aucun d’entre eux. Une telle initiative aurait pu lui causer des ennuis juridiques en plus d’un cas de conscience. Ainsi, il a déclaré qu’il ne pouvait pas statuer précisément sur le niveau de sécurité ou d’exposition des autres systèmes Carousel.
Mais en général, concernant les panneaux numériques piratés, je suis tombé sur une information récente et lié à notre cas, menant à la conclusion que cela pouvait devenir…
…Carrément PewDiePie-esque !
Par exemple, lundi matin, une personne a piraté un panneau de signalisation routière électronique du Missouri pour faire clignoter deux messages en alternance : “Je déteste Donald Trump” et “J’aime PewDiePie“.
Eh bien, ce n’était pas très civique, et pas bon pour aider les conducteurs à rester concentrés sur leur conduite. Néanmoins, ces messages n’étaient certainement pas aussi distrayants que la pornographie diffusée par un pirate sur un panneau indonésien il y a quelques années.
Que votre panneau numérique concerne un panneau d’affichage urbain ou un moniteur de PC, et quelle que soit la distraction que les pirates choisissent d’infliger aux passants : de la propagande ? des liens vers des sites malveillants ? des alertes d’urgence ou des instructions de conduite ?, vous ne voulez tout simplement pas que votre panneau numérique émette des messages indésirables.
Heureusement, TRMS a sauté sur ce problème quand elle a compris le sérieux de ces vulnérabilités. Chers utilisateurs, gardez un œil sur le correctif qui sera publié cette semaine et agissez en conséquence !
Billet inspiré de Digital signs left wide open with default password, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.