Journal Ver Linux/Mips/faible mot de passe

Posté par .
Tags : aucun
4
25
mar.
2009
Il y a quelques temps je discutais avec un collègue de son ancien métier. Il "optimisait" la pile IP d'appliance (petit routeur) sous ARM pour pouvoir tenir le débit malgré les 400 Mhz de l'arm9.

Pour cela, il bypassait des vérifications faite par la pile TCP. Je m'inquiétais un peu des risques de sécurités.

Un système de botnet basé sur l'attaque des petits appliance vient d'être découvert, Psyb0t. Il cible les routeurs mips ayant de faible mot de passe.

Je crois que l'on pas fini d'entendre parler de ce genre d'attaques, le temps que les constructeurs de hardware comprennent que l'on ne joue pas avec la sécurité. :/

http://www.linuxdevices.com/news/NS2300669830.html
http://www.zdnet.fr/actualites/internet/0,39020774,39388927,(...)
  • # OpenWRT?

    Posté par . Évalué à 2.

    L'article de ZDnet laisse planer une confusion inutile : les Linksys WRT n'utilisant pas de firmwares alternatifs sont théoriquement tout aussi touchés. En tous cas, ils correspondent aussi au profil décrit (MIPS + Linux).
    • [^] # Re: OpenWRT?

      Posté par . Évalué à 3.

      Sur ces petites bêtes, en général, par défaut, SSH n'est pas activé sur l'interface WAN...
      • [^] # Re: OpenWRT?

        Posté par . Évalué à 2.

        Enfin, sur les firmwares libres, j'entends (les autres, je les flashe, et ne m'en préoccupe pas, de tout façon)...
  • # Le rapport avec la pile IP ?

    Posté par (page perso) . Évalué à 10.

    La cible est surtout le modem-routeur « Netcomm NB5 ». Une ancienne version du modem offrait son interface web, un accès SSH et telnet depuis Internet... sans mot de passe ! Une version suivante a un mot de passe par défaut : (le classique) admin/admin (et reste accessible depuis Internet). Dans la dernière version du firmware, le modem n'est plus accessible depuis Internet (ni interface web, ni SSH, ni telnet).

    Le bot tente donc de se connecter en telnet sans mot de passe ou avec admin/admin, ce qui donne un shell root sur le modem. Le bot peut télécharger ses outils et travailler tranquillement.

    Je ne vois donc pas le lien avec la pile IP. L'attaque est vraiment triviale et ne nécessite presque pas de connaissance technique spéciale (ok, il faut savoir que c'est du MIPS, bon...). Ce botnet ne remet pas en question la sécurité de Linux. Là c'est vraiment une grave erreur du constructeur !

    Plus d'informations :
    http://www.adam.com.au/bogaurd/PSYB0T.pdf
    http://www.h-online.com/security/Botnet-based-on-home-networ(...)
  • # Comment se tirer une balle dans le pied... (non en fait, deux)

    Posté par (page perso) . Évalué à 5.

    D'après un lien sur la nouvelle paru sur Slashdot ([1] et [2]) on peut lire :

    You are only vulnerable if (...)

    * Your device has telnet, SSH or web-based interfaces available to the WAN


    Première balle dans le pied. Quand bien même il serait nécessaire d'administrer le bidule hors de son réseau, il est préférable de laisser un accès bien contrôlé vers une station d'administration pour cela (il a plus de chance de pouvoir paraméter son serveur SSH avec une authentification par clé que d'avoir cette fonctionnalité sur un routeur de ce genre).

    * Your username and password combinations are weak, OR the daemons that your firmware uses are exploitable.

    Pour le firmware, là la faute incombe au constructeur, mais pour le choix d'identifiant et de mot de passe, c'est l'utilisateur qui est à blâmer. Deuxième balle dans le pied.

    Après, on en revient assez classiquement aux manques de mesures de sécurités prises par la plupart des utilisateurs, à la prise de conscience du problème et autres lecture de documentation (que le constructeur ne fournit pas toujours de toute façon).

    [1] : http://it.slashdot.org/article.pl?sid=09/03/23/2257252&a(...)
    [2] : http://dronebl.org/blog/8

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.