Très utilisés aux Etats-Unis, notamment en marque blanche par les fournisseurs d’accès comme AT&T, plusieurs modem-routeurs Arris sont affectés de cinq failles de sécurité majeures.
La plupart permettent de prendre le contrôle du boîtier et de le transformer, par exemple, en machine à spam ou à détourner les connexions.
Absent du catalogue en ligne d’Arris, les références des routeurs se destinent avant tout aux fournisseurs d’accès Internet de type opérateurs télécoms.
Selon Nomotion, firme de conseils et de développement applicatifs spécialisés en sécurité, la première vulnérabilité démontre une négligence difficilement pardonnable. Mais la firme de sécurité ne se prononce pas sur l’origine de la faille. Celle-ci existe peut-être depuis la conception des routeurs comme elle peut avoir été introduite par le fournisseur d’accès.
Dans tous les cas, « il incombe au fournisseur d’accès Internet de s’assurer que son réseau et son équipement fournissent un environnement sécurisé à leurs utilisateurs finaux », considère Nomotion sur sa contribution de blog.
La première vulnérabilité répertoriée est présente dans la plus récente mise à jour du firmware maison (9.2.2h0d83) et touche les modèles NVG589 et NVG599. Elle permet l’accès au modem alors que les identifiants de connexion sont codés en dur. Quiconque les connait peu avoir accès au routeur. Ce qui est désormais le cas de tout le monde potentiellement puisque Nomotion n’a pas hésité à les publier sur sa page.
Les identifiants donnent notamment accès au cshell, une interface qui permet de changer l’identifiant Wi-Fi du routeur, modifier la configuration du réseau, changer le firmware à partir d’un fichier disponible sur n’importe quel serveur TFTP (Trivial File Transfert Protocol) qui ne nécessite pas d’identification, et même « contrôler ce qui semble être un module de noyau dont le seul but semble être d’injecter des publicités dans le trafic Web non chiffré de l’utilisateur ».
La deuxième faille se rapporte à un serveur HTTPS, « à l’utilité inconnue », tournant sur le port 49955 du modem NVG599. La encore, son accès est des plus simple puisque l’identifiant « tech » y donne accès sans même à avoir à saisir de mot de passe.
La troisième vulnérabilité permet d’injecter des commandes sur « caserver », un serveur HTTPS tournant également sur le port 49955 pour télécharger une nouvelle image du firmware, consulter la base de données interne (SDB) et en changer la configuration.
La quatrième faille touche le port 61001 qui apportera à l’attaquant « une pléthore de données utiles sur l’appareil » dont le numéro de série du boîtier.
La cinquième brèche permet de contourner le firewall en exploitant le service d’écoute depuis le port 49152 et d’ouvrir une connexion proxy TCP. Un bon moyen de pouvoir exploiter les quatre autres failles même si l’utilisateur pense être protégé en activant son firewall.
« Tous les appareils AT&T étudiés ont ce port (49152) ouvert et a répondu aux sondes », indique la firme de sécurité.
Pour l’heure, les failles ne sont pas exploitées, selon les chercheurs. Un calme apparent qui risque de ne pas durer après la révélation de Nomotion.
La société publie des instructions pour permettre le blocage des accès aux backdoors et corriger quelques certaines failles. Pas moins de 220 000 boîtiers Arris sont concernés par une des failles, selon les experts en sécurité.
Lire également
Des routeurs WiFi Netgear à la portée des pirates
La liste des routeurs Cisco infectés par SYNful Knock s’allonge
Des pirates injectent du porno dans les tags de Google Analytics
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…