Un ver se glisse dans les systèmes Linux embarqués
Linux.Darlloz s'attaque à l'architecture Intel x86
Le 2013-11-30 05:29:53, par Stéphane le calme, Chroniqueur Actualités
Kaoru Hayashi, un chercheur de Symantec, a découvert un ver qui s'exécute sur les systèmes Linux embarqués, à l'instar de ceux qu'on trouve dans les décodeurs et les routeurs. Baptisé Linux.Darlloz, il se propage en exploitant une vulnérabilité PHP dont le correctif de sécurité a été publié il y a 18 mois déjà. Ainsi, les appareils qui utilisent d'anciennes versions de PHP peuvent être vulnérables à l'attaque.
« Lors de l'exécution, le ver génère des adresses IP au hasard, accède à un chemin spécifique sur la machine avec des ID et mots de passe bien connus, et envoie des requêtes HTTP POST, qui exploitent la vulnérabilité », a expliqué Hayashi. « Si la cible est non patchée, il télécharge le ver depuis un serveur malveillant et commence à chercher sa prochaine cible. Actuellement, le ver semble infecter uniquement les systèmes Intel x86, car l'URL téléchargée dans le code de l'exploit est codée en dur en ELF binaire pour les architectures Intel ».
Le chercheur a ajouté que l'attaque derrière la version Intel est également l'hôte de fichiers ELF qui exploitent les autres architectures de puces parmi lesquelles ARM, PPC, MIPS et MIPSEL.
Pour protéger les appareils contre les attaques, la société recommande aux utilisateurs et aux administrateurs de mettre sur pied une protection de sécurité de base comme la modification des mots de passe des périphériques par défaut ou encore la mise à jour du logiciel et du micrologiciel de leurs appareils.
« De nombreux utilisateurs peuvent ne pas être conscients du fait qu'ils utilisent des appareils vulnérables dans leurs maisons ou bureaux » avertit Hayashi. « Une autre question à laquelle nous pourrions faire face est que, même si les utilisateurs remarquent que leurs dispositifs sont vulnérables, certains vendeurs ne fournissent aucune mise à jour produit en raison de la technologie obsolète ou des limitations matérielles, comme le fait de ne pas avoir assez de mémoire ou un processeur qui est trop lent pour supporter les nouvelles versions du logiciel ».
Source : Symantec
Et vous ?
Qu'en pense-vous ?
« Lors de l'exécution, le ver génère des adresses IP au hasard, accède à un chemin spécifique sur la machine avec des ID et mots de passe bien connus, et envoie des requêtes HTTP POST, qui exploitent la vulnérabilité », a expliqué Hayashi. « Si la cible est non patchée, il télécharge le ver depuis un serveur malveillant et commence à chercher sa prochaine cible. Actuellement, le ver semble infecter uniquement les systèmes Intel x86, car l'URL téléchargée dans le code de l'exploit est codée en dur en ELF binaire pour les architectures Intel ».
Le chercheur a ajouté que l'attaque derrière la version Intel est également l'hôte de fichiers ELF qui exploitent les autres architectures de puces parmi lesquelles ARM, PPC, MIPS et MIPSEL.
Pour protéger les appareils contre les attaques, la société recommande aux utilisateurs et aux administrateurs de mettre sur pied une protection de sécurité de base comme la modification des mots de passe des périphériques par défaut ou encore la mise à jour du logiciel et du micrologiciel de leurs appareils.
« De nombreux utilisateurs peuvent ne pas être conscients du fait qu'ils utilisent des appareils vulnérables dans leurs maisons ou bureaux » avertit Hayashi. « Une autre question à laquelle nous pourrions faire face est que, même si les utilisateurs remarquent que leurs dispositifs sont vulnérables, certains vendeurs ne fournissent aucune mise à jour produit en raison de la technologie obsolète ou des limitations matérielles, comme le fait de ne pas avoir assez de mémoire ou un processeur qui est trop lent pour supporter les nouvelles versions du logiciel ».
Source : Symantec
Et vous ?
-
imikadoRédacteurQu'en pensez-vous ?
J'aimerai bien savoir ce qui équipe nos box, pour savoir si on est concerné.le 30/11/2013 à 9:10 -
Havok NovakMembre à l'essaiEn ce qui concerne la Freebox, je sais qu’elle tourne sur du Linux. Pour les autres box, aucune idée.le 30/11/2013 à 11:20
-
dsantNouveau membre du ClubNon, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
En plus, les box sont misent à jour automatiquement s'ils le souhaitent, même sans action de l'utilisateur.le 30/11/2013 à 13:02 -
sevyc64ModérateurSur ce point là, je serais moins catégorique. Sauf à être dans les petits papiers de chacun des fabricant des box de chacun des FAI pour pouvoir affirmer, il ne sera pas étonnant (malheureusement) de découvrir un jour qu'une des portes d'entrée sur une des box n'ait pas été correctement protégées.
(Et puis ce problème ne concerne pas que les box dans le réseau)
Certes, mais il ne faut pas perdre de vue que mises à jour automatique et régulières ne signifie pas pour autant que cette faille spécifique ait été corrigée par l'une des mises à jours
Et puis, concernant Free (je ne connais pas la politique des autres), si la v6 est mise à jour très souvent, elles ne sont pas aussi fréquentent pour la V5 et il y a bien longtemps que la V4 n'a pas reçue.le 02/12/2013 à 13:16 -
n5Rzn1D9dCMembre avertiPerso je serais étonné qu'il n'y ait pas déjà des hackers possédant une 0day sur la plupart des box.
Avec les programmes-résidant, c'est ce qu'il y a de mieux pour pouvoir s'infiltrer en masse.
C'est même encore mieux que les p-résidant car ça ne laisse aucune trace sur le pc (en dehors de l'ip).
Un exemple tout simple, une 0day qui permettrait de spoofer/hooker la table de Nat d'une box afin d'y placer l'ip de l'attaquant et initier un MITM permanent..
N'importe quelle personne devenant la cible du hacker se ferait voler soit ses mots de passes, soit ses cookie, soit les deux. Plus les conversations privées sur les réseaux sociaux etc..
Discretion absolue, car la victime ne pourrait rien voir, même via une capture réseau.
Je suis sur que ce genre de hack existent déjà depuis un bail.le 03/12/2013 à 12:05 -
gangsoleilModérateurA ma connaissance, aucune box ne tourne sur des processeurs x86, donc tu es tranquille.le 03/12/2013 à 14:20
-
imikadoRédacteurOk merci
Ca me fait penser à une vieille affaire d'une faille présente sur certaines webcam qui permettait de voir via celle-ci même si elles n'étaient pas connectée.
Le problème: seuls les personnes connectés et faisant de la veille savait qu'il fallait mettre à jour le firmware de la dite webcam, les autres (la plus grande majorité) n'ont jamais su voir ne savent toujours pas qu'ils en sont victime
source: http://www.clubic.com/materiel-infor...s-webcams.htmlle 03/12/2013 à 15:18 -
merillMembre habituéCela me fait penser à l'alicebox.
Un jour, j'avais besoin de modifier un truc wifi dedans, du coup j'ai téléphoné au sav pour avoir les mots de passes / login.
celui de l'utilisateur :
login qui est un numéro bien long
password incompréhensible de 24 caractères.
celui du root:
admin
alicebox
A noté qu'il a fallu bien insisté pour avoir le mot de passe root. Je me demande si c’était plus par peur que je fasse de la merde ou par honte...le 03/12/2013 à 15:37 -
Matthieu VergneExpert éminentBon, c'est vendredi alors je me le permet.
Au passage hayashi, le nom du gentil monsieur qui signale ce problème, ressemble fortement à ayashii qui veut dire "louche" en japonais. Il a bien trouvé son boulot celui-là {^_^}.le 06/12/2013 à 14:53 -
n5Rzn1D9dCMembre avertiPour en revenir à mon post précédant, je viens de me rappeler d'une découverte de l'époque que je-ne-sais-plus-qui avait fait.
Ils avaient découvert que des hackers avaient utilisé pendant longtemps (je ne sais plus si ça se comptait en mois ou années) les modems Olitec (56 ou 128k, je ne sais plus non plus) comme passerelle pour faire des hacks..
En gros, ils pouvaient accéder au modem de n'importe quel utilisateur via une 0day, et s'en servir comme passerelle pour leur méfaits.
C'était donc l'ip du modem qui apparaissait lors du hack et non leur ip à eux.
C'est une très vieille affaire, qui date du temps de ces modems, donc je ne sais pas si l'info peut être retrouvée.le 07/12/2013 à 12:16