enterphoto - Fotolia

Le projet CherryBlossom souligne les défauts de sécurisation des routeurs

Wikileaks vient de rendre publics de nouveaux éléments sur les outils de piratage de la CIA. Parmi eux, le projet CherryBlossom qui vise les routeurs, profitant de l’absence de contrôle approfondi des firmwares.

WikiLeaks vient de publier des informations sur le projet CherryBlossom, attribué à la CIA. Celui-ci est décrit comme « fournissant des moyens de surveillance de l’activité en ligne » sur des cibles précises : « CherryBlossom est centré sur la compromission d’équipements réseau sans fil, tels que les routeurs sans fil et les points d’accès ».

Déployés dans des lieux publics, dans bureaux ou encore au domicile, « ces appareils constituent un point idéal pour des attaques de type man-in-the-middle » à partir desquels surveiller, contrôler et « manipuler le trafic Internet des utilisateurs connectés. En altérant le flux de données entre l’utilisateur et des services en ligne, l’appareil infecté peut injecter du contenu malicieux dans le flux pour exploiter des vulnérabilités dans les applications ou le système d’exploitation de l’ordinateur de l’utilisateur visé », souligne WikiLeaks.

Et de souligner que « l’appareil réseau sans fil lui-même est compromis en y implantant un firmware personnalisé CherryBlossom ; certains appareils permettant la mise à jour de leur firmware sur un lien sans fil, et aucun accès physique à l’appareil n’est alors nécessaire ». L’appareil compromis est évoqué sous le nom de Flytrap, qui communique avec des serveurs de commande et de contrôle appelés CherryTree.

Des firmwares non vérifiés

Pour plusieurs experts, le principal problème exploité dans le cadre du projet CherryBlossom est l’absence de validation du firmware par signature numérique avec de nombreux routeurs. Jake Williams, fondateur de Rendition InfoSec, estime ainsi que ces révélations montrent « comment exiger un firmware signé numériquement permet de prévenir ce type d’attaque » : « si le routeur ne valide pas de signature numérique du firmware, il est facile de charger un firmware malicieux ». Et selon lui, c’est le cas de la plupart des routeurs. Ce qui vaut également pour d’ailleurs pour des firmwares alternatifs comme le célèbre DD-WRT.

Pour les équipements d’entreprises, les choses diffèrent toutefois quelque peu. Bobby Kuzma, chercheur chez Core Security, relève ainsi que « les grands constructeurs de routeurs proposent la validation de firmwares signés depuis un certain temps. Mais en général, ce n’est pas activé par défaut ». Ce qui nécessite donc l’intervention de l’administrateur réseau.

Mais ce n’est pas tout : « les outils de Cisco et de Juniper s’appuient sur des empreintes MD5. Et comme algorithme de hachage, MD5 est cassé ; il existe plusieurs techniques connues de génération d’empreintes identiques pour des contenus binaires largement différents ».

Les documents publiés par WikiLeaks font référence à de nombreux modèles d’équipements réseau, dont les très populaires Linksys WRT54G/GL et WRT300N/320N, entre autres.

Le routeur, un emplacement stratégique

Pour Jake Williams, il n’est même pas nécessaire d’installer un firmware personnalisé pour surveiller les activités en ligne d’un utilisateur à partir de son routeur : « si je contrôle vos réglages DNS, je peux intercepter n’importe quoi ». Toutefois, pour Bobby Kuzma, l’implantation d’un firmware spécifique permet d’aller plus loin.

Et l’intérêt de certains pour ce point d’observation privilégié n’est plus à démontrer. Mi-mai, Cisco a corrigé une vulnérabilité critique présente dans plus de 300 de ses modèles d’équipements réseau et déjà découverte dans un lot de documents attribués à la CIA et rendus publics en mars par Wikileaks.

Déjà en 2015, des « implants » furtifs avaient repérés sur quelques dizaines de routeurs Cisco accessibles en ligne, le fameux SYNful Knock. A l’époque, FireEye le décrivait comme consistant en « une modification furtive de l’image du firmware du routeur qui peut être utilisée pour maintenir une persistance sur le réseau d’une victime ».

Il faut dire que de nombreux moyens de prise de contrôle de routeurs à distance ont été mis en lumière au cours des dernières années. On peut ainsi renvoyer à la vulnérabilité de NetUSB, découverte en 2015, ou encore celle identifiée début 2014 par l’ingénieur Eloi Venderbeken. Et il y a aussi eu l’attaque visant le port TCP 7547 dédié à la maintenance à distance via le protocole TR-069 dont les clients de Deutsche Telekom ont fait l’expérience à l’automne dernier.

Avec nos confrères de SearchSecurity.com

Pour approfondir sur Sécurité réseau (IDS, XDR, etc.)

Close