Pour gérer vos consentements :

Des routeurs WiFi Netgear à la portée des pirates

Le centre de sécurité du Department of Homeland Security américain (US-CERT) lance une alerte concernant 2 routeurs Wifi de marque Netgear affectés par une vulnérabilité très sévère. Les modèles concernés, les R6400 et R7000, sont touchés par une faille de type injection de commandes. « Exploiter cette vulnérabilité est trivial », explique le CERT dans son alerte. Et d’ajouter : « les utilisateurs qui en ont la possibilité devraient réfléchir sérieusement à l’arrêt de l’utilisation de ces machines tant qu’un correctif n’est pas disponible ». Ce qui n’est pas le cas à ce jour…

Pour infecter un des routeurs, il suffit qu’un assaillant persuade un utilisateur de cliquer sur un lien spécialement conçu (de type https:// < router_IP >/cgi-bin/;COMMAND qu’il est possible de masquer dans une URL raccourcie). Ce qui lui permet, potentiellement, de prendre le contrôle total du routeur ciblé.

Cible idéale pour Mirai

Le CERT-US a décidé de lancer cette alerte publique après qu’un utilisateur se faisant appeler Acew0rm a publié sur une base de données de codes d’exploitation des informations relatives au détournement des routeurs Netgear. Le danger ? Que ces boîtiers soient enrôlés dans un botnet, un réseau de machines zombies permettant à un pirate de lancer des attaques par déni de service distribué (DDoS). Au cours des dernières semaines, des cybercriminels ont ainsi détourné des modems Eir ainsi que des routeurs AMG et D-Link au sein des réseaux de Deutsche Telekom en Allemagne et de TalkTalk et Postal Office en Grande-Bretagne. Des machines qui auraient été infectés par Mirai, un malware qui se répand sure un grand nombre d’objets connectés pour lancer de puissants DDoS. Un opérateur de botnet Mirai a ainsi récemment revendiqué plus de 3 millions de machines zombifiées.

Le R8000 aussi

Selon l’alerte du CERT-US, la faille concerne le R7000 équipé du firmware en version 1.0.7.2_1.1.93 et le R6400 avec la version 1.0.1.6_1.0.4 du firmware. Le centre du Homeland Security indique toutefois que les moutures antérieures du logiciel interne sont peut-être également concernées par la faille. Sur le site communautaire Reddit, un internaute précise que l’exploit fonctionne également sur les modèles R800, ce que mentionne également le CERT-US, dans une mise à jour de son alerte. Qui indique : « d’autres modèles pourraient aussi être touchés ».

Pour ceux qui ne pourraient mettre hors service temporairement ces machines, le centre de sécurité américain préconise la désactivation du serveur Web sur les routeurs, rendant inaccessible l’interface d’administration des boîtiers après redémarrage. Mieux que rien. Pour l’heure, Netgear dit enquêter sur le sujet et a ouvert une page Web dédiée qu’il entend mettre à jour au fil des résultats de ses investigations.

A lire aussi :

A louer : un botnet Mirai de 400 000 objets pour lancer des DDoS

900 000 boxes Internet de Deutsche Telekom mises HS par un piratage

Sécurité et IoT : pourquoi le pire est encore à venir

Recent Posts

Cloud de confiance : quelle feuille de route pour S3NS, la coentreprise Google-Thales ?

Sous l'ombrelle S3NS, Google et Thales esquissent une première offre en attendant celle qui visera…

7 heures ago

ERP : Infor suspend le projet CM3

Infor va abandonner le projet CM3, une version sur site et conteneurisée de son ERP…

7 heures ago

Mainframe : IBM Cloud lance z/OS en tant que service

Le groupe IT confirme la disponibilité d'une instance serveur virtuel de développement et de test…

8 heures ago

Cybersécurité : les 3 points clés de l’accord ANSSI-CEA

L'ANSSI et le CEA ont signé un accord-cadre d'une durée de trois ans axé sur…

13 heures ago

MLPerf : les 5 nouveaux systèmes référents en entraînement

Cinq configurations se partagent les premières places sur les huit tests du dernier benchmark MLPerf…

13 heures ago

Chargeur universel : l’USB-C, spectre mondial pour Apple

L'aboutissement des démarches de l'UE sur la question du « chargeur universel » a suscité…

16 heures ago