sujet Re: Patch faille CVE-2020-12695 dans Livebox

Patch faille CVE-2020-12695

Shepah — Mon, 08 Jun 2020 20:02:18 GMT

Bonjour, est ce qu'un patch est prévue pour la faille CVE-2020-12695 qui concerne UPNP et pour laquelle les Liveboxs sont vulnérables:

Testé sur Livebox v2.5.10 avec le PoC github.com/yunuscadirci/CallStranger (information sur la faille: https://callstranger.com/)

Verified vulnerable services:
1: http://192.168.1.1:60000/776c93ed/upnp/control/WANCommonIFC1
2: http://192.168.1.1:60000/776c93ed/upnp/control/WANIPConn1
3: http://192.168.1.1:60000/776c93ed/upnp/control/WANIPv6FwCtrl1

Le correctif temporaire est désactiver UPnP mais cela bloquera le décodeur pour ceux qui l'utilise (je ne l'utilise pas).

Cdlt,

Re: Patch faille CVE-2020-12695

HiSpeed — Tue, 09 Jun 2020 11:57:45 GMT

Bonjour @Shepah

L'UPnP est par principe un processus qu'il faut désactiver dans un routeur !

Comme son rôle est d'ouvrir automatiquement un port à la demande d'un logiciel, un malware "cheval de troie" est capable d'exploiter le processus pour faire entrer n'importe quoi dans une machine...

----

Re: Patch faille CVE-2020-12695

Ninolacom — Tue, 16 Jun 2020 21:09:48 GMT

Bonjour @HiSpeed ,

Sans l'UPnP, nombre de logiciels ne pourraient pas fonctionner "simplement": le Xbox Live, le jeu en réseau, le peer to peer, etc...

Pour un tas de tâches madame Martin et monsieur Toutlemonde devraient s'embêter à ouvrir et fermer des ports à tout bout de champ, et ces gens ne sont ni bricoleurs ni informaticiens.

Donc non, ce n'est pas "par principe un processus qu'il faut désactiver dans un routeur" (pis d'abord, c'est un protocole, pas un processus), et de toute ça ne répond pas à l'impératif de correction des failles de sécurité.

Re: Patch faille CVE-2020-12695

HiSpeed — Wed, 17 Jun 2020 06:45:11 GMT

Bonjour @Ninolacom

On ne peut pas raisonner sainement en informatique si on considère que l'utilisateur final est un ignorant qui n'a pas besoin d’être informé...

Boucher un seul trou dans une passoire ne sert à rien (qu'on l'appelle processus ou protocole).

UPnP sur les routeurs et les risques de sécurité

----

Re: Patch faille CVE-2020-12695

Ninolacom — Thu, 09 Jul 2020 09:20:26 GMT

"On ne peut pas raisonner sainement en informatique si on considère que l'utilisateur final est un ignorant qui n'a pas besoin d’être informé..."
Je n'ai jamais dit le contraire, nous sommes d'accord.

Je t'invite cependant à montrer à madame Martin et monsieur Toutlemonde la liste des ports à ouvrir et à fermer systématiquement juste pour que leurs enfants puissent profiter pleinement du Xbox Live, tu auras l'occasion de les voir changer de couleurs deux fois :
https://support.microsoft.com/fr-fr/help/4026770/xbox-open-these-network-ports-for-xbox-one

Entendons-nous bien: je ne remets pas le défaut de sécurité que représente UPnP.
Je souligne le fait qu'il est activé par défaut sur les box des opérateurs car ces matériels sont adressés au grand public et que ça rends beaucoup service à aux utilisateurs, la plupart du temps non-techniques.

Ne t'en fais pas, les opérateurs sont bien au courant du danger qu'UPnP représente (après tout les attaques se passent sur leurs réseaux), et malgré ça ils considèrent qu'il est préférable de le laisser actif. Il y a toujours une raison rationnelle à ce genre de décisions
Comme évoqué précédemment sans l'UPnP nombre de logiciels ne pourraient pas fonctionner "simplement" et le décodeur de pourrait pas marcher correctement.