Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

Depuis plusieurs années Avast! inclut un scanner de vulnérabilités pour les routeurs et box.
Ce module qui analyse les routeurs et box se nomme Avast! Wifi-Inspector.
Le but est de vérifier si le routeur possède des vulnérabilités et prévenir le propriétaire pour mettre à jour ce dernier.

En effet, les routeurs sont de plus en plus visés par des attaques afin de constituer des botnet.
Nous en parlions notamment sur les pages :

Sur ma Livebox, Avast! Wifi-Inspector  détecte des vulnérabilités notamment une vulnérabilité CVE-2017-14491.
Voici quelques informations autour de cette alerte provenant d’Avast!.

Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

Lorsqu’on lance une analyse intelligente (SMART Scan), le routeur ou box est analysé par Avast!.
Sur ma Livebox et apparement sur les box SFR et bouygues d’après Google.. certains personnes ont aussi un résultat positif.

Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

Les détails indiquent que le serveur DNS de la box est vulnérable à une attaque.
Les risques peuvent aller de perturbations du fonctionnement de la box à la possibilité d’exécuter un code sur ce dernier. En clair, pouvoir exécuter un malware pour prendre le contrôle de la box ou routeur.

Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

Le bulletin de sécurité est le CVE-2017-14491.
Un tour sur le site de veille du gouvernement donne les informations suivantes : https://www.cyberveille-sante.gouv.fr/cyberveille/224-plusieurs-vulnerabilites-critiques-dans-dnsmasq-2017-10-04

  • La vulnérabilité vise les versions < 2.77 de Dnsmasq
  • On peut bloquer ou planter le serveur DNS par des attaques DoS
  • voire il est possible d’exécuter un code malveillant

On retrouve donc bien la description donnée par Avast!.
Dnsmasq étant le serveur DNS de la box qui permet notamment la résolution des requêtes DNS pour les équipements du LAN.

Un coup de nmap confirme bien la présence de Dnsmasq en version 2.55.
Cela donc tend à dire qu’on a bien une version vulnérable.

Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

En récupérant un exploit on arrive bien à planter temporairement la box.
La vidéo suivante montre bien qu’il est possible de planter la box et la connexion internet.

A noter que le serveur DNS n’écoute pas sur l’IP publique mais seulement sur l’interface LAN.
Pour mener l’attaque, il faut le faire depuis un ordinateur du LAN.
Il n’est donc pas possible de planter une box depuis une attaque provenant d’internet.
Cela limite donc la portée… même si cela peut-être gênant avec des rigolos sur un réseau LAN.

A noter que cette détection Avast! est présente depuis février 2018.. apparemment les concepteurs de box ne sont pas très pressés pour mettre à jour ces dernières et corriger la vulnérabilité.

Avast! Wifi-Inspector et vulnérabilités sur routeur et box (CVE-2017-14491)

Autres liens autour de la sécurité des routeurs

Quelques liens du site autour des routeurs et notamment la sécurité.

image_pdfimage_print
(Visité 3 122 fois, 1 visites ce jour)