Le CERT a envoyé un bulletin d’alerte à la mi-décembre pour avertir les utilisateurs des routeurs de la marque Netgear que leurs appareils présentaient une faille de sécurité critique. Une dizaine de produits étaient concernés par cette brèche, une brèche qui permettait l’exécution de lignes de commande à distance.
Un mois après cela, une nouvelle faille (CVE-2017-5521) affectant à peu près une trentaine de produits vient d’être à nouveau découverte. Cette fois-ci, elle donne accès au mot de passe administrateur du routeur après quelques démarches simples et rapides. Pour aviser le public, un billet de blog et un bulletin de sécurité ont été publiés respectivement par Trustwave et Netgear.
La situation est assez critique pour le fabricant, avec cette succession de deux dangereuses failles en l’espace de deux mois seulement.
Le mot de passe administrateur de la machine entre les mains des hackers
Grâce à cette nouvelle faille, les hackers n’auraient besoin que de quelques étapes pour obtenir le mot de passe administrateur du routeur ciblé par leur attaque. La seule condition étant que le paramètre de récupération du mot de passe soit désactivé dans les paramètres de l’appareil.
Lorsque c’est le cas, l’assaillant peut annuler l’étape d’authentification et être ainsi renvoyé vers une autre page permettant d’obtenir un jeton de récupération de mot de passe.
Ensuite, il lui suffit de se rendre manuellement sur la page /passwordrecovered.cgi?id=TOKEN pour récupérer le mot de passe du routeur. La procédure est relativement simple et elle ne nécessite aucune connaissance technique particulière.
Si la récupération du mot de passe est activée, en revanche, alors la situation se complique car le logiciel demandera de répondre à une question de vérification définie lors de l’activation de l’option.
Autre bonne nouvelle, pour que cette faille soit exploitée, l’utilisateur doit avoir activé l’option de contrôle à distance. Une option qui n’est pas activée par défaut, fort heureusement.
Les mises à jour ne sont pas encore complètes
Netgear a communiqué la liste des appareils touchés par cette faille.
On y trouve par exemple les R8500, R8300, R7000, R6400, R7300DST, R7100LG, WNDR4500v2, R6200v2, D6400… Pour résoudre les problèmes, Netgear a aussi commencé à déployer des mises à jour sur certains équipements. Il a en outre envoyé des correctifs à l’ensemble des FAI partenaires pour qu’ils puissent les proposer aux clients.
Malgré tout, les efforts de Netgear ne sont pas encore suffisants, car une douzaine de routeurs ne disposent pas encore de cette fameuse mise à jour. Il s’agit du R6200, R6300, VEGN2610, AC1450, WNR1000v3, WNDR3700v3, WNDR4000, WNDR4500, D6300, D6300B, DGN2200Bv4 et DGN2200v4.
Pour se protéger, il faudra que l’utilisateur active manuellement la procédure de récupération du mot de passe pour ensuite désactiver la gestion à distance.