Developpez.com

Plus de 14 000 cours et tutoriels en informatique professionnelle à consulter, à télécharger ou à visionner en vidéo.

Un ver se glisse dans les systèmes Linux embarqués
Linux.Darlloz s'attaque à l'architecture Intel x86

Le , par Stéphane le calme, Chroniqueur Actualités
Kaoru Hayashi, un chercheur de Symantec, a découvert un ver qui s'exécute sur les systèmes Linux embarqués, à l'instar de ceux qu'on trouve dans les décodeurs et les routeurs. Baptisé Linux.Darlloz, il se propage en exploitant une vulnérabilité PHP dont le correctif de sécurité a été publié il y a 18 mois déjà. Ainsi, les appareils qui utilisent d'anciennes versions de PHP peuvent être vulnérables à l'attaque.

« Lors de l'exécution, le ver génère des adresses IP au hasard, accède à un chemin spécifique sur la machine avec des ID et mots de passe bien connus, et envoie des requêtes HTTP POST, qui exploitent la vulnérabilité », a expliqué Hayashi. « Si la cible est non patchée, il télécharge le ver depuis un serveur malveillant et commence à chercher sa prochaine cible. Actuellement, le ver semble infecter uniquement les systèmes Intel x86, car l'URL téléchargée dans le code de l'exploit est codée en dur en ELF binaire pour les architectures Intel ».

Le chercheur a ajouté que l'attaque derrière la version Intel est également l'hôte de fichiers ELF qui exploitent les autres architectures de puces parmi lesquelles ARM, PPC, MIPS et MIPSEL.


Pour protéger les appareils contre les attaques, la société recommande aux utilisateurs et aux administrateurs de mettre sur pied une protection de sécurité de base comme la modification des mots de passe des périphériques par défaut ou encore la mise à jour du logiciel et du micrologiciel de leurs appareils.

« De nombreux utilisateurs peuvent ne pas être conscients du fait qu'ils utilisent des appareils vulnérables dans leurs maisons ou bureaux » avertit Hayashi. « Une autre question à laquelle nous pourrions faire face est que, même si les utilisateurs remarquent que leurs dispositifs sont vulnérables, certains vendeurs ne fournissent aucune mise à jour produit en raison de la technologie obsolète ou des limitations matérielles, comme le fait de ne pas avoir assez de mémoire ou un processeur qui est trop lent pour supporter les nouvelles versions du logiciel ».

Source : Symantec

Et vous ?

Qu'en pense-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 30/11/2013 à 9:10
Qu'en pensez-vous ?
J'aimerai bien savoir ce qui équipe nos box, pour savoir si on est concerné.
Avatar de Havok Novak Havok Novak - Membre à l'essai https://www.developpez.com
le 30/11/2013 à 11:20
En ce qui concerne la Freebox, je sais qu’elle tourne sur du Linux. Pour les autres box, aucune idée.
Avatar de dsant dsant - Nouveau membre du Club https://www.developpez.com
le 30/11/2013 à 13:02
Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
En plus, les box sont misent à jour automatiquement s'ils le souhaitent, même sans action de l'utilisateur.
Avatar de sevyc64 sevyc64 - Modérateur https://www.developpez.com
le 02/12/2013 à 13:16
Citation Envoyé par dsant  Voir le message
Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.

Sur ce point là, je serais moins catégorique. Sauf à être dans les petits papiers de chacun des fabricant des box de chacun des FAI pour pouvoir affirmer, il ne sera pas étonnant (malheureusement) de découvrir un jour qu'une des portes d'entrée sur une des box n'ait pas été correctement protégées.
(Et puis ce problème ne concerne pas que les box dans le réseau)

Citation Envoyé par dsant  Voir le message
En plus, les box sont misent à jour automatiquement s'ils le souhaitent, même sans action de l'utilisateur.

Certes, mais il ne faut pas perdre de vue que mises à jour automatique et régulières ne signifie pas pour autant que cette faille spécifique ait été corrigée par l'une des mises à jours

Et puis, concernant Free (je ne connais pas la politique des autres), si la v6 est mise à jour très souvent, elles ne sont pas aussi fréquentent pour la V5 et il y a bien longtemps que la V4 n'a pas reçue.
Avatar de n5Rzn1D9dC n5Rzn1D9dC - Membre averti https://www.developpez.com
le 03/12/2013 à 12:05
Citation Envoyé par sevyc64  Voir le message
Sur ce point là, je serais moins catégorique. Sauf à être dans les petits papiers de chacun des fabricant des box de chacun des FAI pour pouvoir affirmer, il ne sera pas étonnant (malheureusement) de découvrir un jour qu'une des portes d'entrée sur une des box n'ait pas été correctement protégées.
(Et puis ce problème ne concerne pas que les box dans le réseau)

Perso je serais étonné qu'il n'y ait pas déjà des hackers possédant une 0day sur la plupart des box.
Avec les programmes-résidant, c'est ce qu'il y a de mieux pour pouvoir s'infiltrer en masse.
C'est même encore mieux que les p-résidant car ça ne laisse aucune trace sur le pc (en dehors de l'ip).

Un exemple tout simple, une 0day qui permettrait de spoofer/hooker la table de Nat d'une box afin d'y placer l'ip de l'attaquant et initier un MITM permanent..
N'importe quelle personne devenant la cible du hacker se ferait voler soit ses mots de passes, soit ses cookie, soit les deux. Plus les conversations privées sur les réseaux sociaux etc..
Discretion absolue, car la victime ne pourrait rien voir, même via une capture réseau.

Je suis sur que ce genre de hack existent déjà depuis un bail.
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 03/12/2013 à 14:20
Citation Envoyé par imikado  Voir le message
Qu'en pensez-vous ?
J'aimerai bien savoir ce qui équipe nos box, pour savoir si on est concerné.

A ma connaissance, aucune box ne tourne sur des processeurs x86, donc tu es tranquille.
Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 03/12/2013 à 15:18
Ok merci

Ca me fait penser à une vieille affaire d'une faille présente sur certaines webcam qui permettait de voir via celle-ci même si elles n'étaient pas connectée.

Le problème: seuls les personnes connectés et faisant de la veille savait qu'il fallait mettre à jour le firmware de la dite webcam, les autres (la plus grande majorité) n'ont jamais su voir ne savent toujours pas qu'ils en sont victime

source: http://www.clubic.com/materiel-infor...s-webcams.html
Avatar de merill merill - Membre habitué https://www.developpez.com
le 03/12/2013 à 15:37
Citation Envoyé par dsant  Voir le message
Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.

Cela me fait penser à l'alicebox.
Un jour, j'avais besoin de modifier un truc wifi dedans, du coup j'ai téléphoné au sav pour avoir les mots de passes / login.

celui de l'utilisateur :
login qui est un numéro bien long
password incompréhensible de 24 caractères.

celui du root:
admin
alicebox

A noté qu'il a fallu bien insisté pour avoir le mot de passe root. Je me demande si c’était plus par peur que je fasse de la merde ou par honte...
Avatar de Matthieu Vergne Matthieu Vergne - Expert confirmé https://www.developpez.com
le 06/12/2013 à 14:53
Bon, c'est vendredi alors je me le permet.

Au passage hayashi, le nom du gentil monsieur qui signale ce problème, ressemble fortement à ayashii qui veut dire "louche" en japonais. Il a bien trouvé son boulot celui-là {^_^}.
Avatar de n5Rzn1D9dC n5Rzn1D9dC - Membre averti https://www.developpez.com
le 07/12/2013 à 12:16
Pour en revenir à mon post précédant, je viens de me rappeler d'une découverte de l'époque que je-ne-sais-plus-qui avait fait.
Ils avaient découvert que des hackers avaient utilisé pendant longtemps (je ne sais plus si ça se comptait en mois ou années) les modems Olitec (56 ou 128k, je ne sais plus non plus) comme passerelle pour faire des hacks..

En gros, ils pouvaient accéder au modem de n'importe quel utilisateur via une 0day, et s'en servir comme passerelle pour leur méfaits.
C'était donc l'ip du modem qui apparaissait lors du hack et non leur ip à eux.

C'est une très vieille affaire, qui date du temps de ces modems, donc je ne sais pas si l'info peut être retrouvée.
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil