D-Link publie une alerte de sécurité sur certains de ses équipements, Réactions à la publication du 04/03/2015

[Lionel]

D-Link a publié une alerte de sécurité au sujet de certains de ses routeurs. Elle concerne les DIR-626L / DIR-636L / DIR-808L / DIR-810L / DIR-820L / DIR-826L / DIR-830L / DIR-836L.
Deux failles permettent de lancer des commandes à distance sur les appareils et ainsi d'en prendre le contrôle et même de modifier leur firmware afin de rendre ces prises de contrôle permanentes.
La société propose déjà pour certains modèles une mise à jour de leur firmware et travaille sur les autres. En attendant elle préconise de désactiver les accès administrateur à distance (par le port WAN). Toutefois il n'est même pas certain que ce soit suffisant pour éviter la prise de contrôle.
Les firmwares pour les produits non encore mis à jour doivent arriver par échelonnement entre maintenant et le 10 mars.

[MàJ] L'alerte a été étendue à d'autres appareils, DIR-890L, DIR-880L, DIR-868L, DIR-860L, DIR-850L....
Là aussi les correctifs arriveront progressivement.

Notez que la société a fait des excuses officielles pour avoir laissé passer ces failles.
Lien vers le billet original

[r@net54]

Deux failles permettent de lancer des commandes à distance sur les appareils et ainsi d'en prendre le contrôle et même de modifier leur firmware afin de rendre ces prises de contrôle permanentes.
La société propose déjà pour certains modèles une mise à jour de leur firmware et travaille sur les autres. En attendant elle préconise de désactiver les accès administrateur à distance (par le port WAN). Toutefois il n'est même pas certain que ce soit suffisant pour éviter la prise de contrôle.

Difficile de desactiver l'administration a distance lorsqu'il s'agit de materiels fournis par les operateurs internet et qui sont geres a distance et souvant a travers une interface WEB.

Bon au moins cette fois ce sont pas des materiels CISCO, donc on va pas blamer la NSA... si ?

[WipeOut]

La grande question, voulue ou pas voulue cette faille de sécurité ?

[SartMatt]

Deux failles permettent de lancer des commandes à distance sur les appareils et ainsi d'en prendre le contrôle et même de modifier leur firmware afin de rendre ces prises de contrôle permanentes.
La société propose déjà pour certains modèles une mise à jour de leur firmware et travaille sur les autres. En attendant elle préconise de désactiver les accès administrateur à distance (par le port WAN). Toutefois il n'est même pas certain que ce soit suffisant pour éviter la prise de contrôle.

Difficile de desactiver l'administration a distance lorsqu'il s'agit de materiels fournis par les operateurs internet et qui sont geres a distance et souvant a travers une interface WEB.

Comme l'indique Lionel, c'est la désactivation de l'administration à distance par le port WAN qu'il est préconisé de désactiver, pas l'administration via le réseau local, qui n'est généralement pas qualifiée d'administration "à distance".

Cette administration locale reste exploitable par un attaquant, mais c'est plus compliqué, puisqu'il faut d'abord prendre le contrôle d'un des ordinateurs du réseau local.

[LordJohnWhorfin]

Si vous avez un routeur qui logge les paquets entrants, c'est assez édifiant de voir la quantité de requêtes qui arrivent aléatoirement sur toute adresse IP, principalement en provenance de Chine et de Russie. Il y a des tonnes de machines qui scannent en permanence toutes les adresses IP pour les tester contre la plupart des failles connues et moins connues des routeurs les plus courants. C'était déjà intenable il y a 10 ans, mais aujourd'hui on atteint des sommets :-(

[downanotch]

Difficile de desactiver l'administration a distance lorsqu'il s'agit de materiels fournis par les operateurs internet et qui sont geres a distance et souvant a travers une interface WEB.

Je ne pense pas que les opérateurs passent par Internet pour configurer les routeurs. Ils utilisent probablement des canaux dédiés sur la connexion physique (ligne téléphonique ou câble).

[Skan]

Est-ce que les modèles cités sont uniquement ceux encore en vente et donc supportés?
Est-ce la faille exsitent sur des modèles plus anciens qui ne sont plus au catalogue? Du coup, pas la peine de faire une mise à jour, les clients rachèteront du matos neufs

[pipolo]

Je ne pense pas que les opérateurs passent par Internet pour configurer les routeurs. Ils utilisent probablement des canaux dédiés sur la connexion physique (ligne téléphonique ou câble).

Oui quand ils font les choses bien. Mais tu peux être sûr que certains ne s'embarrassent pas de genre de complexité...

[SartMatt]

Je ne pense pas que les opérateurs passent par Internet pour configurer les routeurs. Ils utilisent probablement des canaux dédiés sur la connexion physique (ligne téléphonique ou câble).

Oui quand ils font les choses bien. Mais tu peux être sûr que certains ne s'embarrassent pas de genre de complexité...

Bah pour le coup, pour une administration à distance par le FAI, l'interface web c'est vraiment pas ce qu'il y a de plus simple hein...

À ma connaissance, aucune des box française n'expose une interface d'administration à distance en configuration par défaut (il y a parfois une interface web dont on peut activer l'accès distant, mais pas activé par défaut).

Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau.

[sansnom]

Ces alertes sont dans l'air du temps et c'est assurément une bonne chose pour leur image (évidemment) ou pour notre sécurité (par voie de conséquence) ? : MAIS QUE PENSER DE TOUS CES “VIEUX” APPAREILS RÉSEAUX DATANT DE QUELQUES ANNÉES et fabriqués par ces mêmes sociétés... avec certainement à l'époque un peu de laxisme quant à leur sécurité, sinon avec les mêmes exigences stratégiques (états, groupes industriels) pour épier les échanges...

S'il y a des fuites, c'est définitivement trop tard : le mal est fait !... Les données sur dans la nature ou le forfait est réalisé !...

[Zekje]

Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau.

je ne pense pas que ce soit mieux ....
il suffirait de corrompre le serveur hébergeant les fichiers de confs, pour que les clients au fur et a mesure des reboot ( et on peut certainement provoquer des reboot a distance ) chopent une conf avariée ( ouverture d un port ? ).
et si ce meme serveur est inaccessible ? aucune box ne peut redemarrer ....

quand aux interface non accessible de l exterieur, je ne serais pas categorique, surtout quand le login/pass est admin/admin ...

[bad_duck]

Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau.

je ne pense pas que ce soit mieux ....
il suffirait de corrompre le serveur hébergeant les fichiers de confs, pour que les clients au fur et a mesure des reboot ( et on peut certainement provoquer des reboot a distance ) chopent une conf avariée ( ouverture d un port ? ).
et si ce meme serveur est inaccessible ? aucune box ne peut redemarrer ....

Je pense que les équipements / serveurs qui gèrent les fichiers confs des Freebox est un minumum sécurisé et en tout cas surveillé.
En cas de problème a ce niveau là, tu peux être sur que ce sera corrigé dans les heures qui suivent (même la nuit car des gens de chez Free en astreinte se feront réveiller pour corriger ça).
Si ce serveur est inaccessible, peut être que la box reboot avec son ancienne conf tout simplement mais je suppose que si ce serveur n'est plus accessible c'est qu'il y a des problèmes de réseau un peu plus importants chez Free..

Perso je trouve pas mal le système des Freebox, le seul inconveniant c'est que si on a pas d'internet on ne peut pas toujours à la conf du routeur mais c'est pas forcément gênant (mais depuis les fbx revolution c'est différent je crois)

quand aux interface non accessible de l exterieur, je ne serais pas categorique, surtout quand le login/pass est admin/admin ...

Accessible depuis le LAN != accessible depuis l'extérieur...

[Lionel]

Oui, la révolution a une interface Web pas mal foutue d'ailleurs accessible en local ou à distance si le mot de passe est assez long.
Les seuls réglages qu'on ne peut faire qu'en ligne sont ceux de la synchro DSLAM (niveau de bruit) mais bon, plus concerné maintenant que j'ai la fibre.

[SartMatt]

il suffirait de corrompre le serveur hébergeant les fichiers de confs, pour que les clients au fur et a mesure des reboot ( et on peut certainement provoquer des reboot a distance ) chopent une conf avariée ( ouverture d un port ? )

Ouvrir un port, c'est bien joli. Encore faut-il qu'il y ait un service en écoute dessus sur l'ordinateur de la victime...

et si ce meme serveur est inaccessible ? aucune box ne peut redemarrer

La box a sa conf en local et prend celle du serveur si elle est plus récente que la conf locale.
On peut donc supposer que si le serveur est pas disponible, la box conserve simplement sa conf locale...


En tout cas, ce système existe chez Free depuis que la Freebox fait routeur (plus de dix ans donc), et j'ai pas entendu parler de gros problèmes lié au piratage ou à l'indisponibilité des serveurs gérant ça... Jusqu'à la Freebox Revolution, la conf de la box ne pouvait même se faire que via ce biais, l'interface locale de configuration n'existait pas.

Perso je trouve pas mal le système des Freebox, le seul inconveniant c'est que si on a pas d'internet on ne peut pas toujours à la conf du routeur mais c'est pas forcément gênant (mais depuis les fbx revolution c'est différent je crois)

Depuis la Revolution, il y a une interface locale pour la config.
Mais elle ne marche tout de même pas quand tu n'as pas de connexion Internet. En effet, tant que la Freebox n'a pas réussi à synchroniser avec le DSLAM, elle n'active aucun des services locaux : pas de routeur, pas d'interface de configuration, pas d'Air Play, et même pas d'accès au disque dur interne... Je l'ai découvert à mes dépends quand j'ai eu une panne de connexion pendant un mois, pas moyen, de récupérer les enregistrements TV stockés sur le disque dur

[pipolo]

Et le seul FAI qui permette une configuration à distance autrement que par l'interface web de la box, c'est Free, qui donne accès à certains réglage à partir de son site web, mais les modifications effectuées par ce biais ne sont pas poussées vers la box, pour qu'elles soient prises en compte il faut redémarrer la box, car c'est elle qui va réclamer la conf au serveur lors de sa connexion au réseau.

Il faut être sur la ligne titulaire du compte pour faire des modifs avancées type routeur box, renvoi d'appel etc.

je ne pense pas que ce soit mieux ....
il suffirait de corrompre le serveur hébergeant les fichiers de confs [...]

Les serveurs hébergeant les confs ne sont tout simplement pas accessibles depuis internet, certainement adressés en 10.0.0.0/8 ou 172.16.0.0/12 , tout comme la communication entre le player et les serveurs distribuant les chaînes TV.

[SartMatt]

Il faut être sur la ligne titulaire du compte pour faire des modifs avancées type routeur box, renvoi d'appel etc.

Les modifications des options téléphone, oui, faut être sur la ligne, parce qu'elles peuvent engendrer des coûts.

Pour le routeur par contre, j'ai jamais eu de blocage, alors que je passe quasiment toujours par une autre ligne (j'ai une double connexion Orange/Free, et tout mon trafic passe par défaut sur la connexion Orange).

C'est justement l'un des intérêts de cette interface distante, s'il y a un problème de connexion à cause d'une mauvaise configuration on peut rattraper le coup via une autre connexion plutôt que de tout réinitialiser.

Par contre, une fois la modif effectuée dans l'interface web du site de Free, il faut bien un accès physique à la box pour que la modification soit prise en compte, puisqu'il faut la redémarrer, ce qui ne peut pas être commandé à distance.