Cette page sera éditée selon les évènements.
Dernier Edit - 11/03/2019 : modifications de la présentation de l'article pour plus de clarté.
Le piratage de routeur
- Un vers d'environ 200k/300k routeurs linksys hackés
- Mars 2014 : vulnérabilité Wifi sur les routeurs Netgear VMDG485
- D'autres vulnérabilités concernant les routeurs depuis Janvier 2014
L'exploitation peut-être réalisée depuis :
- une vulnérabilité sur les routeurs (il faut mettre à jour le firmware du routeur)
- une vulnérabilité connue mais qui ne sera jamais corrigée dû à l'obsolescence
- un mot de passe par défaut ou trop faible sur les interfaces de gestion du routeur
- une backdoor / une porte dérobée qui a été cachée par le constructeur du routeur
- une configuration trop permissive ou un code qui abaisse le niveau de sécurité
Ce blog décrit un exemple d'attaque : http://rootatnasro.wordpress.com/2014/0 ... e-network/
Hijack DNS
Le terme "hijack" signifie détourner donc "hijacking" est un détournement. Une estimation en 2014 tendait à démontrer qu'environ 200 000 routeurs algériens vulnérables aux détournements.
Ces procédés de modifications des serveurs DNS/de noms ne sont pas nouveaux et sont pratiqués depuis plusieurs années.
A ce propos, vous pouvez lire la page : Trojan.DNSChanger.
Deux sujets plus classiques avec redirections sur des machines algériennes.
Notez que les configurations DNS des ordinateurs avaient aussi été modifiées.
Des publicités sur des pages Facebook/Google s'affichaient à l'écran des utilisateurs.
http://www.commentcamarche.net/forum/af ... debarasser
http://www.commentcamarche.net/forum/af ... ut-of-date
Code : Tout sélectionner
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 41.77.138.18 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B784659B-49DA-4AE2-96A2-F74F97B326BC}: DhcpNameServer = 100.100.0.102
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FB792F37-0209-420A-B028-92EC1561AA02}: DhcpNameServer = 41.77.138.18 8.8.8.8
Code : Tout sélectionner
nslookup http://www.google.fr /c >
Serveur : host-41.77.138.18.citynethost.com
Address: 41.77.138.18
DNS request timed out.
timeout was 2 seconds.
- http://forum.malekal.com/dnscheck-ismyd ... 51076.html
Les détournements de l'interface de gestion ou bien les tentatives d'accès avec des mots de passe usuels ne sont pas nouveaux. Nous en parlions déjà fin 2008, du temps où Trojan.DNSChanger faisait rage...
Ces méthodes permettent donc de détourner du traffic pour par exemple effectuer toutes sortes d'attaques, comme par exemple faire des redirections vers de faux sites ou bien d'afficher des publicités, et plus insidieux, à des vols de cookies, d'identifiants, de formulaires, etc.
Le CERT Poleska a dernièrement émis une alerte sur des vols bancaires via ces détournements DNS. La nouvelle ayant été reprise par plusieurs médias comme le site de news TheHackerNews.
Il y a peu d'informations concernant l'exploitation des vulnérabilités sur des box française, néanmoins, laissez le mot de passe par défaut n'est vraiment pas une bonne idée surtout lorsque l'on sait qu'une exploitation de ce genre est d'une simplification enfantine. Pensez donc à changer le mot de passe de votre box !
Conseils pour sécurise ses routeur et box internet
Prendre connaissance de la FAQ pour comprendre le fonctionnement d'un routeur.: Fonctionnement des routeurs et box internet
Pour sécuriser son routeur contre les attaques, piratage et intrusions, vous pouvez lire l'article : Comment sécuriser son routeur contre les piratages.
Réinitialiser d'usine
Lorsque le routeur a été piraté, vous devez réinitialiser d'usine ce dernier.
Cela supprime tous les logiciels malveillants et remets le routeur dès qu'il était à la sortie d'usine.
La procédure est différent selon le modèle de routeur ou le constructeur.
Voici la procédure à suivre :
- Faire un "reset" (remise à zéro d'usine) du routeur. En général, se trouve un bouton sur lequel il faut appuyer pendant quelques secondes avec la mine d'un stylo par exemple.
- Se connecter à l'interface WEB du routeur (ex : http://192.168.1.1/ ) et changez le mot de passe Administrateur.
- Télécharger et installer le dernier firmware ( le micrologiciel du fabricant )
En général, il faut se rendre sur le site du constructeur pour télécharger le dernier firmware.
Ensuite se connecter à l'interface dans la partie "Mise à jour", un bouton "Parcourir" est disponible pour aller chercher le fichier du firmware téléchargé.
EDIT: 25.05.2014 : TD-W8901G impactés
Pas mal de routeurs TD-W8901G attaqués.
EDIT: 17.09.2014 : découverte d'un réseau de 400 000 routeurs infectés ?
Kaspersky Labs a publié une analyse rapide d'une attaque qui vise les pays de langue portugais. Un courriel avec un lien cliquable, si l'utilisateur clique il est alors redirigé vers un site et si le mot de passe du routeur est celui par défaut, le routeur est attaqué, le cas échéant une fenêtre d'authentification vous demande de saisir vos identifiants. Une évolution comparé à Carna botnet découvert en 2013 qui ciblait seulement les routeurs accessibles par identifiants "root/root" et "admin/admin".
Toujours en septembre 2014, le blog malwaremustdie revient sur une analyse de Linux/Elknot qui infecte les routeurs pour mener des attaques DoS.
Une autre analyse rapporte les vulnérabilités sur la plupart des routeurs grands publics.
EDIT: 12.01.2015 : Le groupe "Lizard Squad" utilise un botnet de routeurs
Lire le bulletin d'information Lizard Squad dispose d'un botnet de routeurs
EDIT: 28.05.2015 : Le ver informatique Linux/Moose
Cette fois-ci, un ver s'attaque aux routeurs, il se propage par attaques en force bruie de l'authentification.
Lire le bulletin d'information Le ver informatique Linux/Moose aime vos routeurs.
EDIT: 08.10.2015 : Les routeurs Netgear touchés par une vulnérabilité
Sur la news de BleepingComputer, on apprend que certains routeurs Netgear possèdent une vulnérable à distance qui concerne l'authentification de l'administration à distance.
Les modèles Netgear sont :
* JNR1010v2
* JNR3000
* JWNR2000v5
* JWNR2010v5
* N300
* R3250
* WNR2020
* WNR614
* WNR618
Et les firmwares vulnérables sont :
* N300_1.1.0.31_1.0.1.img
* N300-1.1.0.28_1.0.1.img
10 000 routeurs aurait été touchés.
La vulnérabilité a été remontée à NetGear en Juillet et... toujours aucun correctif
Vous devez donc absolument désactiver l'authentification à distance à attendant un correctif.
Source : http://www.csnc.ch/misc/files/advisorie ... Bypass.txt
EDIT: 15025.02.2016 : RouterHunter pour trouver des routeurs non à jour
Pour les administrateurs, RouterHunter permet de scanner le réseau à la recherche de routeur ayant des vulnérabilités.
EDIT: 01.2017 : D-Link attaqué aux USA par la FTC
D-Link attaqué aux USA pour des raisons de sécurité.