Journal Faille sur les routeurs Linksys WRT54GL

Posté par . Licence CC by-sa
11
15
jan.
2013

Bonjour,

DefenseCode a découvert une faille dans le firmware d'origine des routeurs Linksys (Cisco), qui permet un accès root à distance. Cette vulnérabilité a été testée sur le WRT54GL, qui est plutôt bien connu ici, mais les autres routeurs Linksys seraient aussi touchés.

La société a prévenu Cisco, qui aurait patché la faille dans leur dernier firmware (4.30.14), mais cette faille serait toujours présente.

DefenseCode publiera les détails de cette faille dans 2 semaines sur leur site et Full Disclosure, en accord avec leur politique de divulgation des failles.

Une vidéo de cet exploit a été publiée, qui ne nous apprend pas grand chose. Le seul point particulier est que l'attaque se fait sur une adresse IP d'un réseau privé (192.168.1.1). Est-ce que c'est uniquement pour le test ou l'exploit a besoin d’être lancé depuis le LAN ?

L'info sur slashdot.
La page sur cet exploit sur le site de DefenseCode.

  • # Stop

    Posté par (page perso) . Évalué à  7 .

    Il n'y a pas d'accent sur le verbe avoir à la 3ème personne du singulier.

    Pour savoir s'il faut mettre l'accent ou non, il faut remplacer le a/à par avait : si la phrase garde son sens, c'est le verbe avoir (sans accent), sinon c'est la préposition (avec accent).

    DefenseCode a découvert

    Cette vulnérabilité a été testée

    La société a prévenu Cisco

    ou l'exploit a besoin d’être lancé depuis le LAN?

    J'en profite au passage pour signaler que la porc-no-graphie entre les attaques et les adresses est illégale :

    Le seul point particulier est que l'attaque se fait sur une adresse IP

    Commentaire sous licence LPRAB - http://sam.zoy.org/lprab/

    • [^] # Re: Stop

      Posté par . Évalué à  2 .

      La faute de base… Oui je connais bien cette technique, et je me sens ridicule d'avoir fait cette faute…

      Oui effectivement j'ai oublié le "sur".

      Si un modo pouvait corriger tout ca, merci.

      • [^] # Re: Stop

        Posté par . Évalué à  3 . Dernière modification : le 15/01/13 à 10:45

        J'ai aussi trouvé ça en me relisant :

        J'ai aussi oublié "été" dans la deuxième phrase : "Cette vulnérabilité a été testée sur le WRT54GL".

        Deuxième phrase : "les autres routeurs Linksys seraient aussi impactés."
        Quatrième paragraphe : "de cet exploit a été publiée "

        Si un modo pouvait corriger tout ca, merci beaucoup. Promis la prochaine fois je fini mon café avant d’écrire, et je me relis au moins 2 fois.

        • [^] # Re: Stop

          Posté par (page perso) . Évalué à  2 .

          je me relis au moins 2 fois.

          c'est à cela que sert le bouton Prévisualiser (il est aussi possible de tourner 7 fois son clavier avant d'appuyer sur Entrée :D). Tout est corrigé (et un peu plus).

  • # Lapin compris

    Posté par (page perso) . Évalué à  5 .

    La société à prévenu Cisco, qui aurait patché la faille dans leur dernier firmware (4.30.14), mais cette faille serait toujours présente.

    Est-ce qu'il faut comprendre que le patch ne corrige rien ? Comment c'est possible de faire un patch sur une notification d'une boîte de sécu sans vérifier que le patch corrige tout ? Ou alors j'ai pas bien compris.

    En tout cas ils leur reste deux semaines (un peu moins le temps que les admin réagissent) pour faire un patch correct car avec la divulgation de l'exploit, les scripts kiddies font s'en donner à cœur joie !

    • [^] # Re: Lapin compris

      Posté par . Évalué à  2 .

      C'est presque ça en fait, DefenseCode a envoyé à Cisco la description et le PoC de l'exploit, qui aurait répondu que la vulnérabilité avait déjà été fixée dans la dernière mise à jour, ce qui ne serait pas le cas. On dirait que Cisco n'a même pas testé le PoC.

      Voici la phrase sur le site de DefenseCode :

      We gave them detailed vulnerability description along with the PoC exploit for the vulnerability.
      They said that this vulnerability was already fixed in latest firmware release… Well, not this particular vulnerability, since latest official Linksys firmware - 4.30.14, and all previous versions are still vulnerable.

  • # Connu ici

    Posté par (page perso) . Évalué à  5 .

    qui est plutôt bien connu ici

    Oui, mais il est justement connu pour avoir été l'un des premiers à pouvoir être flashé pour faire tourner un firmware alternatif. J'espère que les gens n'achètent plus ce routeur pour une utilisation "classique". Il est resté cher alors qu'il est maintenant dépassé technologiquement.

    • [^] # Re: Connu ici

      Posté par . Évalué à  3 . Dernière modification : le 15/01/13 à 11:32

      Le WRT54G avait été mon premier routeur wifi, nous avions construit un réseau maillé entre universitaires, la bonne époque !

      Mais comme toutes les bonnes choses ont une fin, à sa mort indigne (je l'ai briqué en installant un nouveau firmware via wifi alors que je pensais être en ethernet) j'ai trouvé son digne successeur : le wnr3000l [1] de netgear. Oui netgear ça ne fait pas rêver j'en conviens, mais ils ont pondu un routeur "open source" avec site communautaire [2] et firmwares tomato, ddwrt, openwrt… en pagaille suivant l'utilisation qu'on va en avoir.

      [1] http://www.myopenrouter.com/article/13378/Features-and-Specifications-NETGEAR-WNR3500L-Open-Source-Wireless-N-Gigabit-Router/
      [2] http://www.myopenrouter.com

      Il y a sûrement mieux depuis (j'ai acheté le mien en 2009), mais tout ça pour dire qu'il n'y a pas que le wrt54g ! :)

      • [^] # Re: Connu ici

        Posté par (page perso) . Évalué à  3 .

        Le WNDR3700 (v2) est très bien aussi, avec deux cartes wifi, des vlans pas bridés (contrairement au WRT54G), et un très bon support par OpenWrt. Et ils ont même sorti le wndr3800 depuis, dont j'ai entendu du bien mais que je n'ai pas eu entre les mains.

    • [^] # Re: Connu ici

      Posté par (page perso) . Évalué à  2 .

      J'ai un Netgear DG834G qui ne me sert plus depuis plus de 5 ans. C'est équivalent à un WRT54G, le firmware d'origine est un Linux.
      Est-ce qu'il peut me servir encore à quelque chose d'utile ? Est-ce que l'install de la version 10.3 d'OpenWRT présente un intérêt quelconque ?

      https://en.wikipedia.org/wiki/Netgear_DG834_%28series%29
      http://wiki.openwrt.org/toh/netgear/dg834.g/b

      • [^] # Re: Connu ici

        Posté par . Évalué à  2 .

        C'est à toi de répondre à cette question. Si tu ne t'en sers plus depuis 5 ans c'est que tu n'en as pas besoin non ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.