COMPTOIR
register

Une méchante faille de sécurité dans les routeurs Netgear (MàJ)

Mise à jour du 26 décembre : Netgear a corrigé le tir sur tous les modèles incriminés, un correctif étant disponible directement sur le site du constructeur.


netgear r7000 hacked

Netgear fait actuellement face à une publicité dont la firme se serait bien passée. Vendredi dernier, Andrew Rollins (Acew0rm), un expert en sécurité a publié via Twitter une faille affectant les modèles de routeurs Netgear R6400, R7000 et R8000. Il semble avoir tenté d'alerter en vain Netgear depuis plusieurs mois, et, par dépit, il a fini par rendre la faille publique. Le CERT (Computer Emergency Response Team) américain de l’Université Carnegie-Mellon a publié dans la foulée un avis recommandant… de ne plus utiliser ces routeurs (bim, ça fait mal quand même ça). Aujourd’hui Netgear a confirmé le problème et a même ajouté les modèles R6250, R6700, R7100LG, R7300 et R7900 à la liste des modèles affectés ; ça commence à faire du monde.

 

La faille en question est de type injection de commande et utilise un bug dans le serveur web permettant l’administration à distance (qui est quand même désactivée par défaut), et si le CERT de Carnegie a publié une telle recommandation, c’est qu’elle est très facilement exploitable et qu’elle pourrait être utilisée pour lancer des attaques DDOS (déni de service distribué). Pour exploiter ce trou béant, il suffit pour cela d’ajouter à la suite de L’URL de connexion au service web un point-virgule suivi de la commande à exécuter :

 

http://IP_ROUTEUR/cgi-bin/;COMMANDE

 

Effectivement, plus simple tu meurs. Pour arranger le tout, la commande s’exécute sous l’utilisateur root, donc avec les droits administrateur. Ce qui est sympa c’est que l’on peut utiliser cette faille pour s’en protéger :

 

http://IP_ROUTEUR/cgi-bin/;killall$IFS’httpd’

 

Cette commande-là permettra de tuer le service web fautif jusqu’au prochain redémarrage (httpd étant le nom de processus du service et $IFS la variable du shell bash permettant d’insérer un séparateur, en l’occurrence le caractère « espace »).

 

Netgear a commencé à travailler en urgence sur un correctif et a mis en ligne une première version bêta pour les modèles R6250, R6400, R6700, R7000 et R8000. En attendant, espérons que la liste des routeurs affectés ne s’allonge pas plus…

 

hackerman

Un poil avant ?

L'EDEN n'est pas si grand que ça, la preuve avec le nouveau boîtier de XIGMATEK

Un peu plus tard ...

Calyos a du matos pour qui rêve d'un PC Gaming complètement silencieux (fanless quoi)

Les 7 ragots
Les ragots sont actuellement
ouverts à tous, c'est open bar !
Message de Superubu supprimé par un modérateur : Réponse à un message modéré
par A l'abris du grand oeil d'Ile-de-France, le Mercredi 14 Décembre 2016 à 22h00  
Il y a une solution radicale avec ces problèmes et qui permet en plus d'avoir un routeur hyper sécurisé. Passage en firmware open source et gratuit. Il y a un site dédié à cela pour Netgear.
J'ai franchi le pas, il y a quelques années avec en plus une petite customisation pour intégrer la liaison VPN dans le routeur avec un script en bash. Les machines (PC, NAS, tablettes, smartphone,..) sont en aval du routeur. En amont j'ai uniquement le modem. Il y a des entreprises dans mon domaine qui font tout eux-mêmes (matériels et firmware). Pas de CISCO ou Juniper.
Pour Netgear open et gratuit, il s'agit de myopenrouter.com
Message de Ilsus bouré de Provence-Alpes-Cote d'Azur supprimé par un modérateur : HS
par tùsus de Provence-Alpes-Cote d'Azur, le Mercredi 14 Décembre 2016 à 20h08  
Tout le monde est vulnérable, je viens du futur. Même l'autre fon-bou de la NSA
par Un #ragoteur connecté de Bretagne, le Mercredi 14 Décembre 2016 à 18h20  
Hackerman, l'homme qui hacke les blessures par balle !
par GoLLuM13, le Mercredi 14 Décembre 2016 à 15h22  
Sur le site de Netgear : >>ICI<<
Ils mentionnent 9 Routeurs : R6250 - R6400 - R6700 - R6900 - R7000 - R7100LG - R7300DST - R7900 - R8000 (il vous manque le R6900 dans votre liste)
Ainsi que 3 Modems ( que vous n'avez pas mentionné ) : D6220 - D6400 - D7000
Et à la seconde où je tape ce message tous les routeurs (à l'exception du R6900) ont un firmware correctif beta

Petit ajout pour savoir si vous êtes touchés utilisez l'une de ces commandes dans votre navigateur :
http://VOTRE_IP_ROUTEUR/cgi-bin/;uname$IFS-a
ou
http://www.routerlogin.net/cgi-bin/;uname$IFS-a
par Gry20r, le Mercredi 14 Décembre 2016 à 14h11  
Perso j'appelle pas ça une faille mais une backdoor... .