Vous avez une question ?
Interrogez la communauté
internet & fixe
Solutions approuvées
n gras les parties essentielles, j'ai encore pondu un pavé...@Ancien Membre
Alors non, la box n'est pas infectée...
Mais je vais quand même pas être obligé de refaire mon post que j'ai fait de l'autre côté ?
page 3 du sujet linké un peu plus haut
ici > https://communaute.orange.fr/t5/prot%C3%A9ger-mes-donn%C3%A9es-et-mon/Vuln%C3%A9rabilit%C3%A9-LIVEBOX/td-p/1506844/page/3
pour résumer :
- la faille est réelle
- une box / un routeur EST un PC ! (la box orange tourne sous linux)
- l'AV la détecte par un scan réseau que n'importe qui bossant en réseau et connaissant la commande pourrait faire de son PowerShell
Sinon, de ce que j'ai lu de la faille, non il ne s'agit pas forcément de prendre le contrôle de la box.
La faille est une faille assez "basique" de par sa nature : il s'agit d'un "bête" heap overflow.
En d'autres termes, des paquets TCP/IP forgés d'une certaine façon pour être trop gros pour être gérés normalement, et qui font soit planter le service DNS (DNSmasq, présent dans les box !), ou qui permettent d'executer du code.
L'impact de ce code peut être très limité (mais tout de même critique) si les droits du "deamon" (du service) DNSmasq sont bien réglés : changement du comportement du DNS ou du DHCP, changement des règles - incluant redirection vers des sites de hameçonage, coupure de l'accès réseau, ...
L'impact peut aussi être total, si les droits ont mal été gérés : pouvant aller de la simple extinction de la box à une mise à jour du firmware par une version non conforme (dans le sens hackée / piratée) permettant d'intégrer à peu près n'importe quoi à la box (un serveur VPN pour de l'usurpation d'identité internet, des services de ghosting pour de l'attaque en masse sur des serveurs, ...)
Il est vrai qu'une attaque provenant de l'extérieur pourrait ne pas être possible :
Je n'ai pas pris le temps d'analyser le patch de DNSmasq, mais si les routeurs intervenant avant la box sur le réseau orange sont patchés, il est possible que les paquets malicieux n'arrivent jamais.
Cependant, une attaque provenant de l'intérieur reste possible et sérieuse. Je pense ici aux commerces proposant du wifi gratuit dans leurs établissements par exemple.
La plupart étant souvent équipés d'une simple box et d'un petit serveur spécialisé gérant le wifi partagé pour les plus pointus, d'autres donnant parfois simplement les mot de passe du réseau wifi de leur box directement.
EDIT : cet article en anglais détaille la procédure à laquelle j'ai directement pensé :
https://blog.trendmicro.com/trendlabs-security-intelligence/dnsmasq-reality-check-remediation-practices/
un attaquant injecte des routages dans la box pour rediriger les utilisateurs vers un site frauduleux.
Par contre, l'attaque est plus hasardeuse à mettre en place qu'il n'y parait : il faut créer un serveur DNS, qu'un appareil vulnérable interroge directement. Ce n'est pas à la portée de tout le monde, et une "bête" hierarchie DNS avec des serveurs centraux protégés rend toute attaque impossible.
Seulement, il ne s'agit que d'un scénario sur l'une des 7 failles existantes dans la version de DNSmasq en question !
copie d'écran de 3 tests de version DNS sur 3 serveurs différents :
le premier, le bien connu 8.8.8.8 de google, ne répond rien. c'est un des meilleurs comportements à avoir en sécurité informatique
le deuxième, un serveur DNS Orange "central". Il répond qu'il est en version "Orange"
le 3e, ma box directement. Elle répond qu'elle a DNSmasq en version 2.55, vulnérable
Voilà le genre de commande que Avast fait tourner, mais en Windows (ici c'est du linux ubuntu en WSL)
Bref, je retourne configurer le serveur DNS de mon homelab, raison pour laquelle je suis tombé sur les posts traitant de cette faille à l'origine.
La box Orange étant tellement pourrie qu'elle ne gère aucune des choses dont j'ai besoin pour faire fonctionner les services que je veux heberger derrière :>
PS : je suis Sys Admin à l'APHP.
les serveurs sous linux ou windows, c'est mon métier :>