Developpez.com

Le Club des Développeurs et IT Pro

Un ver se glisse dans les systèmes Linux embarqués

Linux.Darlloz s'attaque à l'architecture Intel x86

Le 2013-11-30 05:29:53, par Stéphane le calme, Chroniqueur Actualités
Kaoru Hayashi, un chercheur de Symantec, a découvert un ver qui s'exécute sur les systèmes Linux embarqués, à l'instar de ceux qu'on trouve dans les décodeurs et les routeurs. Baptisé Linux.Darlloz, il se propage en exploitant une vulnérabilité PHP dont le correctif de sécurité a été publié il y a 18 mois déjà. Ainsi, les appareils qui utilisent d'anciennes versions de PHP peuvent être vulnérables à l'attaque.

« Lors de l'exécution, le ver génère des adresses IP au hasard, accède à un chemin spécifique sur la machine avec des ID et mots de passe bien connus, et envoie des requêtes HTTP POST, qui exploitent la vulnérabilité », a expliqué Hayashi. « Si la cible est non patchée, il télécharge le ver depuis un serveur malveillant et commence à chercher sa prochaine cible. Actuellement, le ver semble infecter uniquement les systèmes Intel x86, car l'URL téléchargée dans le code de l'exploit est codée en dur en ELF binaire pour les architectures Intel ».

Le chercheur a ajouté que l'attaque derrière la version Intel est également l'hôte de fichiers ELF qui exploitent les autres architectures de puces parmi lesquelles ARM, PPC, MIPS et MIPSEL.


Pour protéger les appareils contre les attaques, la société recommande aux utilisateurs et aux administrateurs de mettre sur pied une protection de sécurité de base comme la modification des mots de passe des périphériques par défaut ou encore la mise à jour du logiciel et du micrologiciel de leurs appareils.

« De nombreux utilisateurs peuvent ne pas être conscients du fait qu'ils utilisent des appareils vulnérables dans leurs maisons ou bureaux » avertit Hayashi. « Une autre question à laquelle nous pourrions faire face est que, même si les utilisateurs remarquent que leurs dispositifs sont vulnérables, certains vendeurs ne fournissent aucune mise à jour produit en raison de la technologie obsolète ou des limitations matérielles, comme le fait de ne pas avoir assez de mémoire ou un processeur qui est trop lent pour supporter les nouvelles versions du logiciel ».

Source : Symantec

Et vous ?

Qu'en pense-vous ?
  Discussion forum
10 commentaires
  • imikado
    Rédacteur
    Qu'en pensez-vous ?
    J'aimerai bien savoir ce qui équipe nos box, pour savoir si on est concerné.
    le 30/11/2013 à 9:10
  • Havok Novak
    Membre à l'essai
    En ce qui concerne la Freebox, je sais qu’elle tourne sur du Linux. Pour les autres box, aucune idée.
    le 30/11/2013 à 11:20
  • dsant
    Nouveau membre du Club
    Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
    En plus, les box sont misent à jour automatiquement s'ils le souhaitent, même sans action de l'utilisateur.
    le 30/11/2013 à 13:02
  • sevyc64
    Modérateur
    Envoyé par dsant
    Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
    Sur ce point là, je serais moins catégorique. Sauf à être dans les petits papiers de chacun des fabricant des box de chacun des FAI pour pouvoir affirmer, il ne sera pas étonnant (malheureusement) de découvrir un jour qu'une des portes d'entrée sur une des box n'ait pas été correctement protégées.
    (Et puis ce problème ne concerne pas que les box dans le réseau)

    Envoyé par dsant
    En plus, les box sont misent à jour automatiquement s'ils le souhaitent, même sans action de l'utilisateur.
    Certes, mais il ne faut pas perdre de vue que mises à jour automatique et régulières ne signifie pas pour autant que cette faille spécifique ait été corrigée par l'une des mises à jours

    Et puis, concernant Free (je ne connais pas la politique des autres), si la v6 est mise à jour très souvent, elles ne sont pas aussi fréquentent pour la V5 et il y a bien longtemps que la V4 n'a pas reçue.
    le 02/12/2013 à 13:16
  • n5Rzn1D9dC
    Membre averti
    Envoyé par sevyc64
    Sur ce point là, je serais moins catégorique. Sauf à être dans les petits papiers de chacun des fabricant des box de chacun des FAI pour pouvoir affirmer, il ne sera pas étonnant (malheureusement) de découvrir un jour qu'une des portes d'entrée sur une des box n'ait pas été correctement protégées.
    (Et puis ce problème ne concerne pas que les box dans le réseau)
    Perso je serais étonné qu'il n'y ait pas déjà des hackers possédant une 0day sur la plupart des box.
    Avec les programmes-résidant, c'est ce qu'il y a de mieux pour pouvoir s'infiltrer en masse.
    C'est même encore mieux que les p-résidant car ça ne laisse aucune trace sur le pc (en dehors de l'ip).

    Un exemple tout simple, une 0day qui permettrait de spoofer/hooker la table de Nat d'une box afin d'y placer l'ip de l'attaquant et initier un MITM permanent..
    N'importe quelle personne devenant la cible du hacker se ferait voler soit ses mots de passes, soit ses cookie, soit les deux. Plus les conversations privées sur les réseaux sociaux etc..
    Discretion absolue, car la victime ne pourrait rien voir, même via une capture réseau.

    Je suis sur que ce genre de hack existent déjà depuis un bail.
    le 03/12/2013 à 12:05
  • gangsoleil
    Modérateur
    Envoyé par imikado
    Qu'en pensez-vous ?
    J'aimerai bien savoir ce qui équipe nos box, pour savoir si on est concerné.
    A ma connaissance, aucune box ne tourne sur des processeurs x86, donc tu es tranquille.
    le 03/12/2013 à 14:20
  • imikado
    Rédacteur
    Ok merci

    Ca me fait penser à une vieille affaire d'une faille présente sur certaines webcam qui permettait de voir via celle-ci même si elles n'étaient pas connectée.

    Le problème: seuls les personnes connectés et faisant de la veille savait qu'il fallait mettre à jour le firmware de la dite webcam, les autres (la plus grande majorité) n'ont jamais su voir ne savent toujours pas qu'ils en sont victime

    source: http://www.clubic.com/materiel-infor...s-webcams.html
    le 03/12/2013 à 15:18
  • merill
    Membre habitué
    Envoyé par dsant
    Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
    Cela me fait penser à l'alicebox.
    Un jour, j'avais besoin de modifier un truc wifi dedans, du coup j'ai téléphoné au sav pour avoir les mots de passes / login.

    celui de l'utilisateur :
    login qui est un numéro bien long
    password incompréhensible de 24 caractères.

    celui du root:
    admin
    alicebox

    A noté qu'il a fallu bien insisté pour avoir le mot de passe root. Je me demande si c’était plus par peur que je fasse de la merde ou par honte...
    le 03/12/2013 à 15:37
  • Matthieu Vergne
    Expert éminent
    Bon, c'est vendredi alors je me le permet.

    Au passage hayashi, le nom du gentil monsieur qui signale ce problème, ressemble fortement à ayashii qui veut dire "louche" en japonais. Il a bien trouvé son boulot celui-là {^_^}.
    le 06/12/2013 à 14:53
  • n5Rzn1D9dC
    Membre averti
    Pour en revenir à mon post précédant, je viens de me rappeler d'une découverte de l'époque que je-ne-sais-plus-qui avait fait.
    Ils avaient découvert que des hackers avaient utilisé pendant longtemps (je ne sais plus si ça se comptait en mois ou années) les modems Olitec (56 ou 128k, je ne sais plus non plus) comme passerelle pour faire des hacks..

    En gros, ils pouvaient accéder au modem de n'importe quel utilisateur via une 0day, et s'en servir comme passerelle pour leur méfaits.
    C'était donc l'ip du modem qui apparaissait lors du hack et non leur ip à eux.

    C'est une très vieille affaire, qui date du temps de ces modems, donc je ne sais pas si l'info peut être retrouvée.
    le 07/12/2013 à 12:16
  Poster une réponse