Pour gérer vos consentements :

Cinq failles de sécurité majeures dans des modem-routeurs Arris

Très utilisés aux Etats-Unis, notamment en marque blanche par les fournisseurs d’accès comme AT&T, plusieurs modem-routeurs Arris sont affectés de cinq failles de sécurité majeures.

La plupart permettent de prendre le contrôle du boîtier et de le transformer, par exemple, en machine à spam ou à détourner les connexions.

Absent du catalogue en ligne d’Arris, les références des routeurs se destinent avant tout aux fournisseurs d’accès Internet de type opérateurs télécoms.

Selon Nomotion, firme de conseils et de développement applicatifs spécialisés en sécurité, la première vulnérabilité démontre une négligence difficilement pardonnable. Mais la firme de sécurité ne se prononce pas sur l’origine de la faille. Celle-ci existe peut-être depuis la conception des routeurs comme elle peut avoir été introduite par le fournisseur d’accès.

Dans tous les cas, « il incombe au fournisseur d’accès Internet de s’assurer que son réseau et son équipement fournissent un environnement sécurisé à leurs utilisateurs finaux », considère Nomotion sur sa contribution de blog.

Des identifiants codés en dur et publiés en ligne

La première vulnérabilité répertoriée est présente dans la plus récente mise à jour du firmware maison (9.2.2h0d83) et touche les modèles NVG589 et NVG599. Elle permet l’accès au modem alors que les identifiants de connexion sont codés en dur. Quiconque les connait peu avoir accès au routeur. Ce qui est désormais le cas de tout le monde potentiellement puisque Nomotion n’a pas hésité à les publier sur sa page.

Les identifiants donnent notamment accès au cshell, une interface qui permet de changer l’identifiant Wi-Fi du routeur, modifier la configuration du réseau, changer le firmware à partir d’un fichier disponible sur n’importe quel serveur TFTP (Trivial File Transfert Protocol) qui ne nécessite pas d’identification, et même « contrôler ce qui semble être un module de noyau dont le seul but semble être d’injecter des publicités dans le trafic Web non chiffré de l’utilisateur ».

La deuxième faille se rapporte à un serveur HTTPS, « à l’utilité inconnue », tournant sur le port 49955 du modem NVG599. La encore, son accès est des plus simple puisque l’identifiant « tech » y donne accès sans même à avoir à saisir de mot de passe.

La troisième vulnérabilité permet d’injecter des commandes sur « caserver », un serveur HTTPS tournant également sur le port 49955 pour télécharger une nouvelle image du firmware, consulter la base de données interne (SDB) et en changer la configuration.

220 000 routeurs affectés

La quatrième faille touche le port 61001 qui apportera à l’attaquant « une pléthore de données utiles sur l’appareil » dont le numéro de série du boîtier.

La cinquième brèche permet de contourner le firewall en exploitant le service d’écoute depuis le port 49152 et d’ouvrir une connexion proxy TCP. Un bon moyen de pouvoir exploiter les quatre autres failles même si l’utilisateur pense être protégé en activant son firewall.

« Tous les appareils AT&T étudiés ont ce port (49152) ouvert et a répondu aux sondes », indique la firme de sécurité.

Pour l’heure, les failles ne sont pas exploitées, selon les chercheurs. Un calme apparent qui risque de ne pas durer après la révélation de Nomotion.

La société publie des instructions pour permettre le blocage des accès aux backdoors et corriger quelques certaines failles. Pas moins de 220 000 boîtiers Arris sont concernés par une des failles, selon les experts en sécurité.


Lire également
Des routeurs WiFi Netgear à la portée des pirates
La liste des routeurs Cisco infectés par SYNful Knock s’allonge
Des pirates injectent du porno dans les tags de Google Analytics

crédit photo © Morrowind – shutterstock

Recent Posts

Transition numérique : une solide croissance à deux chiffres

Les investissements mondiaux dans les technologies et services de transformation numérique progresseraient de plus de…

6 heures ago

Classement Forbes : 20 milliardaires de la Tech

De Jeff Bezos (Amazon) à David Duffield (Workday), voici la liste Forbes des 20 personnalités…

11 heures ago

Dix pistes d’action pour sécuriser l’open source

Comment améliorer la sécurité de l'open source ? Éléments de réponse avec le plan d'action…

12 heures ago

Twitter : Elon Musk joue les équilibristes

Après avoir annoncé la suspension de l'accord pour le rachat de Twitter, Elon Musk s'est…

3 jours ago

Cybersécurité : CyberArk crée un fonds doté de 30 millions $

Financer une nouvelle génération de start-up des technologies de cybersécurité, c'est l'objectif affiché par CyberArk…

3 jours ago

Silicon Day Workplace : quelle Digital Workplace à l’heure du travail hybride ?

Silicon.fr vous invite à Silicon Day Workplace, une journée dédiée aux enjeux de la Digital…

3 jours ago