Netgear : faille critique sur trois routeurs, il est recommandé de ne plus les utiliser

Au moins en attendant une mise à jour
Réseau 3 min
Netgear : faille critique sur trois routeurs, il est recommandé de ne plus les utiliser

Au moins trois routeurs Netgear sont vulnérables à une attaque par injection de commandes. L'exploitation de la faille est trivial et le CERT recommande donc de « fortement envisager l'arrêt de l'utilisation des dispositifs concernés jusqu'à ce qu'un correctif soit disponible ».

En ce moment, il ne se passe quasiment pas une semaine sans qu'une faille de sécurité remonte à la surface, avec des conséquences plus ou moins importantes pour les utilisateurs. Après les cartes bancaires Visa (voir notre analyse), c'est au tour de certains routeurs Wi-Fi de Netgear d'être dans la tourmente.

Trois routeurs récents vulnérables à une injection de commandes

Ce week-end, CERT.org a en effet publié un bulletin de sécurité inquiétant : « plusieurs routeurs Netgear sont vulnérables à l'injection arbitraire de commandes ». Les modèles concernés sont les R6400 et R7000 (respectivement avec les firmwares 1.0.1.6_1.0.4 et 1.0.7.2_1.1.93 et peut-être des plus anciens), ainsi que les R8000 (firmware 1.0.3.4_1.1.2) selon des retours d'utilisateurs. D'autres modèles sont peut-être vulnérables, prudence donc.

Exploiter cette vulnérabilité est triviale ajoute CERT.org. Le groupe de l'université Carnegie Mellon recommande donc aux utilisateurs qui le peuvent « de fortement envisager l'arrêt de l'utilisation des dispositifs concernés jusqu'à ce qu'un correctif soit disponible ».

Les conséquences sont en effet fâcheuses pour les clients de la marque : via un site web spécialement développé pour exploiter cette faille, « un attaquant distant non authentifié peut exécuter des commandes arbitraires avec des privilèges root sur le routeur concerné ». On imagine assez bien les conséquences que cela peut avoir : il s'agit d'un accès direct au cœur de la machine. Cela marche également en local, pour une personne connectée au réseau Wi-Fi par exemple.

Les détails d'exploitation sont disponibles, Netgear confirme et enquête

Cette brèche est donc déjà bien importante, mais la situation est d'autant plus grave que les détails de son exploitation ont été dévoilés. Le hacker à l'origine de cette découverte, Acew0rm, affirme sur son compte Twitter qu'il a contacté Netgear il y a quatre mois au sujet de cette faille : « Ils ne l'ont pas corrigée, j'ai donc dû la divulguer ».

Voici un exemple d'utilisation :

http://<router_IP>/cgi-bin/;COMMAND

Depuis, le fabricant a réagi officiellement. L'un de ses responsables explique ainsi que Netgear est « conscient du problème de sécurité #582384 affectant les routeurs R6400, R7000, R8000».

Via son site dédié au support, le constructeur confirme la situation : « un attaquant distant peut potentiellement injecter des commandes arbitraires qui sont ensuite exécutées par le système ». Pour le moment, il ne donne pas plus de détails. Il ajoute qu'il étudie la question et qu'il mettra son billet à jour le moment venu.

À défaut d'une mise à jour, certains auraient trouvé une solution temporaire

Si vous avez un des routeurs concernés et que, comme le recommande CERT.org, vous ne pouvez pas vous en passer pour le moment, voici certaines informations qui pourraient vous être utiles. Tout d'abord, vérifier si votre routeur est vulnérable. À défaut d'une information fiable et officielle de la part de Netgear, il faut se contenter du retour de certains utilisateurs.

Une manière d'y arriver serait de saisir la ligne de commande suivante dans son navigateur : 

http://<router_IP>/cgi-bin/;uname$IFS-a

Si vous obtenez quoi que ce soit d'autre qu'une erreur ou une page blanche, alors vous êtes vulnérables à cette faille (généralement vous avez un texte à l'écran qui commence par « Linux Rxx00 2.6.36 », avec Rxx00 qui correspond à la référence de votre routeur).

En attendant qu'une mise à jour du firmware soit disponible, certains pensent avoir trouvé une solution temporaire : désactiver le serveur httpd... en utilisant justement cette faille via la commande suivante.

http://<router_IP>/cgi-bin/;killall$IFS'httpd'

Attention par contre, cette solution est remontée par des utilisateurs, mais rien ne confirme qu'elle fonctionne pour l'ensemble des routeurs concernés. Sachez également que si le routeur redémarre pour une raison ou une autre (coupure de courant par exemple), le serveur httpd se remet automatiquement en marche, en étant de nouveau vulnérable.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

101 commentaires
Avatar de LordZurp Abonné
Avatar de LordZurpLordZurp- 12/12/16 à 11:24:09

ou alors, flashez advanced tomato FW 

Avatar de xhark INpactien
Avatar de xharkxhark- 12/12/16 à 11:26:14

TomatoUSB powered, aucun souci :)

Avatar de Jeanprofite Abonné
Avatar de JeanprofiteJeanprofite- 12/12/16 à 11:29:52

L'image de marque en prends un sacré coup pour Netgear.

Avatar de vizir67 Abonné
Avatar de vizir67vizir67- 12/12/16 à 11:32:52

  qu'il a contacté Netgear il y a quatre mois au sujet de cette faille : « Ils ne l'ont pas corrigée, j'ai donc dû la divulguer ».

ah, quand même ..........
ils ont mis "du temps à percuter" !!!

Avatar de Burn2 Abonné
Avatar de Burn2Burn2- 12/12/16 à 11:33:59

C'est clair...

Trouver des marques fiables et qui mettent à jour leur matériel sur le long terme ça devient de plus en plus compliqué....

Avatar de eglyn Abonné
Avatar de eglyneglyn- 12/12/16 à 11:35:47

Burn2 a écrit :

C'est clair...

Trouver des marques fiables et qui mettent à jour leur matériel sur le long terme ça devient de plus en plus compliqué....

Perso, je travaille avec Zyxel qui, je trouve n'est pas trop mal sur le suivi de leurs appareils et leur SAV si besoin.

Avatar de thomgamer INpactien
Avatar de thomgamerthomgamer- 12/12/16 à 11:36:26

C'est pas leurs routeurs "Star" par hasard ? Car quand j'ai voulu m'équiper en wifi AC, c'est ceux là sur lesquels je tombais le plus souvent.

Ca va leur faire mal, surtout vu la facilité d'exploitation de la faille ... Par contre la solution temporaire... Killer le serveur httpd, je suis le seul à être choqué de la "solution" ? On perd la console d'admin je pense (je n'ai pas ce modem, mais je suppose qu'on doit pouvoir le relancer en ssh)

Avatar de Drepanocytose Abonné
Avatar de DrepanocytoseDrepanocytose- 12/12/16 à 11:39:03

LordZurp a écrit :

ou alors, flashez advanced tomato FW 

+1, AdvancedTomato c'est juste bien.

Avatar de Leixia Abonné
Avatar de LeixiaLeixia- 12/12/16 à 11:39:06

Synology.

J'ai le RT1900 AC et il est régulièrement mit à jour.

Avatar de kypd INpactien
Avatar de kypdkypd- 12/12/16 à 11:39:38

Re-lancé par un reboot surement...

Sinon c'est quoi cette requête ?

par quoi est résolu la partie "host" vide ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 11

Votre commentaire

Avatar de lecteur anonyme
Avatar de lecteur anonyme

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact