D-Link publie une alerte de sécurité sur certains de ses équipements, Réactions à la publication du 04/03/2015 |
Bienvenue invité ( Connexion | Inscription )
D-Link publie une alerte de sécurité sur certains de ses équipements, Réactions à la publication du 04/03/2015 |
4 Mar 2015, 00:02
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
D-Link a publié une alerte de sécurité au sujet de certains de ses routeurs. Elle concerne les DIR-626L / DIR-636L / DIR-808L / DIR-810L / DIR-820L / DIR-826L / DIR-830L / DIR-836L.
Deux failles permettent de lancer des commandes à distance sur les appareils et ainsi d'en prendre le contrôle et même de modifier leur firmware afin de rendre ces prises de contrôle permanentes. La société propose déjà pour certains modèles une mise à jour de leur firmware et travaille sur les autres. En attendant elle préconise de désactiver les accès administrateur à distance (par le port WAN). Toutefois il n'est même pas certain que ce soit suffisant pour éviter la prise de contrôle. Les firmwares pour les produits non encore mis à jour doivent arriver par échelonnement entre maintenant et le 10 mars. [MàJ] L'alerte a été étendue à d'autres appareils, DIR-890L, DIR-880L, DIR-868L, DIR-860L, DIR-850L.... Là aussi les correctifs arriveront progressivement. Notez que la société a fait des excuses officielles pour avoir laissé passer ces failles. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
4 Mar 2015, 04:41
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 458 Inscrit : 23 Mar 2004 Lieu : Paris / Vancouver Membre no 16 640 |
Deux failles permettent de lancer des commandes à distance sur les appareils et ainsi d'en prendre le contrôle et même de modifier leur firmware afin de rendre ces prises de contrôle permanentes. La société propose déjà pour certains modèles une mise à jour de leur firmware et travaille sur les autres. En attendant elle préconise de désactiver les accès administrateur à distance (par le port WAN). Toutefois il n'est même pas certain que ce soit suffisant pour éviter la prise de contrôle. Difficile de desactiver l'administration a distance lorsqu'il s'agit de materiels fournis par les operateurs internet et qui sont geres a distance et souvant a travers une interface WEB. Bon au moins cette fois ce sont pas des materiels CISCO, donc on va pas blamer la NSA... si ? -------------------- Agnostique multipratiquant: Unixs, Linux, Mac OS X, iOS et un peu de Windows. Des Macs, des iDevices, des PC et des "ordinosaures"…
Citation « Celui qui t’entretient des défauts d’autrui entretient les autres des tiens. », Diderot« Quand on suit une mauvaise route, plus on marche vite, plus on s'égare. » |
|
|
4 Mar 2015, 07:13
Message
#3
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 848 Inscrit : 27 Jun 2004 Lieu : Suisse Membre no 20 512 |
La grande question, voulue ou pas voulue cette faille de sécurité ?
-------------------- Mac Studio M1 / Mac OS X 10.14.x / 2x Asus PA278QV / 2x Airport Extreme AC Tower / iPhone SE 2022 / MacBook Pro 13" 2009 / Mac Mini alias MediaCenter
PC Gaming ONLY : Ryzen 7700X, Asus ROG Strix X670E-A Gaming WIFI Ram 32 GB, Asus TUF 3080Ti, Tour Pure Base 500DX White, Ventirad Be Quiet! Dark Rock Pro 4, Alim 750W CORSAIR HX750i, Ventilos : Be Quiet! & Noctua |
|
|
4 Mar 2015, 08:23
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Deux failles permettent de lancer des commandes à distance sur les appareils et ainsi d'en prendre le contrôle et même de modifier leur firmware afin de rendre ces prises de contrôle permanentes. Difficile de desactiver l'administration a distance lorsqu'il s'agit de materiels fournis par les operateurs internet et qui sont geres a distance et souvant a travers une interface WEB.La société propose déjà pour certains modèles une mise à jour de leur firmware et travaille sur les autres. En attendant elle préconise de désactiver les accès administrateur à distance (par le port WAN). Toutefois il n'est même pas certain que ce soit suffisant pour éviter la prise de contrôle. Cette administration locale reste exploitable par un attaquant, mais c'est plus compliqué, puisqu'il faut d'abord prendre le contrôle d'un des ordinateurs du réseau local. -------------------- |
|
|
4 Mar 2015, 09:32
Message
#5
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 164 Inscrit : 18 Mar 2004 Membre no 16 424 |
Si vous avez un routeur qui logge les paquets entrants, c'est assez édifiant de voir la quantité de requêtes qui arrivent aléatoirement sur toute adresse IP, principalement en provenance de Chine et de Russie. Il y a des tonnes de machines qui scannent en permanence toutes les adresses IP pour les tester contre la plupart des failles connues et moins connues des routeurs les plus courants. C'était déjà intenable il y a 10 ans, mais aujourd'hui on atteint des sommets :-(
|
|
|
4 Mar 2015, 11:22
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Difficile de desactiver l'administration a distance lorsqu'il s'agit de materiels fournis par les operateurs internet et qui sont geres a distance et souvant a travers une interface WEB. Je ne pense pas que les opérateurs passent par Internet pour configurer les routeurs. Ils utilisent probablement des canaux dédiés sur la connexion physique (ligne téléphonique ou câble). |
|
|
4 Mar 2015, 13:47
Message
#7
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 761 Inscrit : 13 Apr 2003 Lieu : Rennes Membre no 7 112 |
Est-ce que les modèles cités sont uniquement ceux encore en vente et donc supportés?
Est-ce la faille exsitent sur des modèles plus anciens qui ne sont plus au catalogue? Du coup, pas la peine de faire une mise à jour, les clients rachèteront du matos neufs -------------------- [Mac Mini TB | i5 2,3GHz | 2x DDR3 2Go | X.8]
[iPod 1 | 8Go | Whited00r 7 ] |
|
|
4 Mar 2015, 14:08
Message
#8
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 540 Inscrit : 6 Sep 2009 Lieu : Paris Membre no 141 810 |
Je ne pense pas que les opérateurs passent par Internet pour configurer les routeurs. Ils utilisent probablement des canaux dédiés sur la connexion physique (ligne téléphonique ou câble). Oui quand ils font les choses bien. Mais tu peux être sûr que certains ne s'embarrassent pas de genre de complexité... -------------------- MacBook 13,3 Unibody (late 2008) 4Go Ram + SSD PC "fait maison" + iiYama 24" + KVM (souris microsoft + clavier mac ;-) |
|
|
4 Mar 2015, 14:57
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Je ne pense pas que les opérateurs passent par Internet pour configurer les routeurs. Ils utilisent probablement des canaux dédiés sur la connexion physique (ligne téléphonique ou câble). Oui quand ils font les choses bien. Mais tu peux être sûr que certains ne s'embarrassent pas de genre de complexité...À ma connaissance, aucune des box française n'expose une interface d'administration à distance en configuration par défaut (il y a parfois une interface web dont on peut activer l'accès distant, mais pas activé par défaut). Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau. -------------------- |
|
|
21 Apr 2015, 14:07
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 146 Inscrit : 30 Jun 2005 Lieu : Loiret Membre no 41 715 |
Ces alertes sont dans l'air du temps et c'est assurément une bonne chose pour leur image (évidemment) ou pour notre sécurité (par voie de conséquence) ? : MAIS QUE PENSER DE TOUS CES “VIEUX” APPAREILS RÉSEAUX DATANT DE QUELQUES ANNÉES et fabriqués par ces mêmes sociétés... avec certainement à l'époque un peu de laxisme quant à leur sécurité, sinon avec les mêmes exigences stratégiques (états, groupes industriels) pour épier les échanges...
S'il y a des fuites, c'est définitivement trop tard : le mal est fait !... Les données sur dans la nature ou le forfait est réalisé !... -------------------- MacMini M1 (13.4.1c) 16Go • iPhone 11 Pro Max 64Go • iPadMini Wi-Fi 6ème Gén. 64Go • aTV 4K 32Go |
|
|
21 Apr 2015, 15:10
Message
#11
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 135 Inscrit : 12 Jul 2007 Lieu : LYON Membre no 90 499 |
Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau. je ne pense pas que ce soit mieux .... il suffirait de corrompre le serveur hébergeant les fichiers de confs, pour que les clients au fur et a mesure des reboot ( et on peut certainement provoquer des reboot a distance ) chopent une conf avariée ( ouverture d un port ? ). et si ce meme serveur est inaccessible ? aucune box ne peut redemarrer .... quand aux interface non accessible de l exterieur, je ne serais pas categorique, surtout quand le login/pass est admin/admin ... -------------------- Achetez moins cher sur le net avec igraal |
|
|
21 Apr 2015, 15:39
Message
#12
|
|
MacBidouilleur d'Or ! Groupe : Admin Messages : 11 590 Inscrit : 2 Mar 2002 Lieu : Paris Membre no 2 171 |
Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau. je ne pense pas que ce soit mieux .... il suffirait de corrompre le serveur hébergeant les fichiers de confs, pour que les clients au fur et a mesure des reboot ( et on peut certainement provoquer des reboot a distance ) chopent une conf avariée ( ouverture d un port ? ). et si ce meme serveur est inaccessible ? aucune box ne peut redemarrer .... Je pense que les équipements / serveurs qui gèrent les fichiers confs des Freebox est un minumum sécurisé et en tout cas surveillé. En cas de problème a ce niveau là, tu peux être sur que ce sera corrigé dans les heures qui suivent (même la nuit car des gens de chez Free en astreinte se feront réveiller pour corriger ça). Si ce serveur est inaccessible, peut être que la box reboot avec son ancienne conf tout simplement mais je suppose que si ce serveur n'est plus accessible c'est qu'il y a des problèmes de réseau un peu plus importants chez Free.. Perso je trouve pas mal le système des Freebox, le seul inconveniant c'est que si on a pas d'internet on ne peut pas toujours à la conf du routeur mais c'est pas forcément gênant (mais depuis les fbx revolution c'est différent je crois) quand aux interface non accessible de l exterieur, je ne serais pas categorique, surtout quand le login/pass est admin/admin ... Accessible depuis le LAN != accessible depuis l'extérieur... -------------------- ---------------------------------------------------------------------------------------------------------------------------- Pour chatter avec des macbidouilleurs, rejoignez le chan IRC #macbidouille , plus d'infos et Webchat: par ici ;) Et n'oubliez pas, vos amis sont toujours là pour vous: Google, man, how to, RTFM mais aussi FAQ et Recherche Suivez MacBidouille sur Twitter ------------------------------------------------------>> http://twitter.com/macbid |
|
|
21 Apr 2015, 15:44
Message
#13
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Oui, la révolution a une interface Web pas mal foutue d'ailleurs accessible en local ou à distance si le mot de passe est assez long.
Les seuls réglages qu'on ne peut faire qu'en ligne sont ceux de la synchro DSLAM (niveau de bruit) mais bon, plus concerné maintenant que j'ai la fibre. -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
21 Apr 2015, 15:56
Message
#14
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
il suffirait de corrompre le serveur hébergeant les fichiers de confs, pour que les clients au fur et a mesure des reboot ( et on peut certainement provoquer des reboot a distance ) chopent une conf avariée ( ouverture d un port ? ) Ouvrir un port, c'est bien joli. Encore faut-il qu'il y ait un service en écoute dessus sur l'ordinateur de la victime...et si ce meme serveur est inaccessible ? aucune box ne peut redemarrer La box a sa conf en local et prend celle du serveur si elle est plus récente que la conf locale.On peut donc supposer que si le serveur est pas disponible, la box conserve simplement sa conf locale... En tout cas, ce système existe chez Free depuis que la Freebox fait routeur (plus de dix ans donc), et j'ai pas entendu parler de gros problèmes lié au piratage ou à l'indisponibilité des serveurs gérant ça... Jusqu'à la Freebox Revolution, la conf de la box ne pouvait même se faire que via ce biais, l'interface locale de configuration n'existait pas. Perso je trouve pas mal le système des Freebox, le seul inconveniant c'est que si on a pas d'internet on ne peut pas toujours à la conf du routeur mais c'est pas forcément gênant (mais depuis les fbx revolution c'est différent je crois) Depuis la Revolution, il y a une interface locale pour la config.Mais elle ne marche tout de même pas quand tu n'as pas de connexion Internet. En effet, tant que la Freebox n'a pas réussi à synchroniser avec le DSLAM, elle n'active aucun des services locaux : pas de routeur, pas d'interface de configuration, pas d'Air Play, et même pas d'accès au disque dur interne... Je l'ai découvert à mes dépends quand j'ai eu une panne de connexion pendant un mois, pas moyen, de récupérer les enregistrements TV stockés sur le disque dur -------------------- |
|
|
21 Apr 2015, 16:13
Message
#15
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 540 Inscrit : 6 Sep 2009 Lieu : Paris Membre no 141 810 |
Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau. Il faut être sur la ligne titulaire du compte pour faire des modifs avancées type routeur box, renvoi d'appel etc. je ne pense pas que ce soit mieux .... il suffirait de corrompre le serveur hébergeant les fichiers de confs [...] Les serveurs hébergeant les confs ne sont tout simplement pas accessibles depuis internet, certainement adressés en 10.0.0.0/8 ou 172.16.0.0/12 , tout comme la communication entre le player et les serveurs distribuant les chaînes TV. -------------------- MacBook 13,3 Unibody (late 2008) 4Go Ram + SSD PC "fait maison" + iiYama 24" + KVM (souris microsoft + clavier mac ;-) |
|
|
21 Apr 2015, 16:25
Message
#16
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Il faut être sur la ligne titulaire du compte pour faire des modifs avancées type routeur box, renvoi d'appel etc. Les modifications des options téléphone, oui, faut être sur la ligne, parce qu'elles peuvent engendrer des coûts.Pour le routeur par contre, j'ai jamais eu de blocage, alors que je passe quasiment toujours par une autre ligne (j'ai une double connexion Orange/Free, et tout mon trafic passe par défaut sur la connexion Orange). C'est justement l'un des intérêts de cette interface distante, s'il y a un problème de connexion à cause d'une mauvaise configuration on peut rattraper le coup via une autre connexion plutôt que de tout réinitialiser. Par contre, une fois la modif effectuée dans l'interface web du site de Free, il faut bien un accès physique à la box pour que la modification soit prise en compte, puisqu'il faut la redémarrer, ce qui ne peut pas être commandé à distance. -------------------- |
|
|
Nous sommes le : 26th April 2024 - 17:39 |