Six millions de routeurs Sky exposés à des attaques de prise de contrôle pendant 17 mois

modem_router

Environ six millions de routeurs clients Sky Broadband au Royaume-Uni ont été affectés par une vulnérabilité critique qui a pris plus de 17 mois pour déployer un correctif auprès des clients.

La vulnérabilité divulguée est une faille de reliure DNS que les acteurs malveillants pourraient facilement exploiter si l’utilisateur n’avait pas modifié le mot de passe administrateur par défaut, ou un acteur malveillant pourrait forcer brutalement les informations d’identification.

Le résultat de l’exploitation serait de compromettre le réseau domestique du client, de modifier la configuration du routeur et de basculer potentiellement vers d’autres appareils internes.

L’attaque DNS rebinding sur les routeurs Sky

Les attaques de reliure DNS sont utilisées pour contourner une mesure de sécurité du navigateur appelée politique de même origine (SOP), qui empêche un site d’envoyer des demandes à des sites Web autres que sa propre origine. Cette origine est généralement le domaine que vous avez visité dans le navigateur.

Cette mesure de sécurité a été introduite pour empêcher un site Web de voler des cookies d’un autre site, d’accéder à des données sur d’autres sites ou d’effectuer d’autres attaques entre domaines.

Comme le SOP se concentre sur le nom de domaine plutôt que sur l’adresse IP, le but est de faire croire à un navigateur qu’un script parlait au domaine d’origine, mais en réalité, parle à une adresse IP interne (127.0.01/192.168.0.1 ).

C’est là que les attaques DNS Rebinding entrent en jeu et, lorsqu’elles sont menées correctement, conduisent à toute une série d’attaques.

Pour que l’attaque fonctionne, la victime doit être amenée à cliquer sur un lien malveillant ou à visiter un site Web malveillant. Cela pourrait facilement être fait par un acteur malveillant envoyant des e-mails de phishing aux clients de Sky, des publications sur les réseaux sociaux, des SMS contenant des liens vers le site malveillant.

Une fois que la victime visite le site, une iframe s’affiche et demande des données à un sous-domaine contrôlé par l’attaquant.

Ce script charge ensuite une charge utile JavaScript sur l’iframe, qui effectue des requêtes HTTP consécutives au serveur, ce dernier répondant avec son adresse IP.

Au bout de quelques secondes, le serveur cesse de répondre à ces requêtes, ce qui déclenche la ré-initialisation de la connexion du navigateur au domaine, une nouvelle requête DNS est donc envoyée.

Cependant, cette fois, le serveur répond avec l’adresse IP de la cible (192.168.0.1), qui est le routeur de la victime.

Comme le navigateur pense qu’il communique toujours avec le domaine d’origine, il permettra au script du site Web distant d’envoyer des requêtes à l’adresse IP interne du routeur (192.168.0.1).

Le flux d'attaque de re-liaison DNS
Le flux d’attaque de re-liaison DNS
Source : PenTestPartners

« Une fois la connexion de la charge utile JavaScript au routeur cible établie, l’attaquant pourrait communiquer avec le serveur Web interne et faire des demandes qui modifieraient les paramètres de la même manière que cela se produirait normalement à partir d’un navigateur Web client », a expliqué PenTestPartners dans leur rapport.

À l’aide de cette vulnérabilité, les chercheurs ont créé un exploit PoC qui pourrait effectuer diverses activités malveillantes sur le routeur, notamment :

  • Connectez-vous en tant qu’administrateur avec les identifiants par défaut (utilisateur : admin – mot de passe : sky)
  • Changer le mot de passe administrateur (nécessaire pour activer la gestion à distance)
  • Collecter et afficher le nom SSID et le mot de passe WPA2
  • Activer la gestion à distance

Une démonstration de cet exploit peut être vue dans la vidéo ci-dessous créée par PenTestPartners dans le cadre de leur rapport.

YouTube video

Ce PoC fonctionne sur les modèles de routeurs suivants, qui correspondent à environ six millions d’utilisateurs :

  • Sky Hub 3, 3.5 et Booster 3 (ER110, ER115, EE120)
  • Sky Hub 2 et booster 2 (SR102, SB601)
  • Centre céleste (SR101)
  • Sky Hub 4 et Booster 4 (SR203, SE210) – impact limité en raison de leur expédition avec des mots de passe aléatoires

Fix a pris 17 mois à déployer

L’équipe PenTestPartners a fait part de ses conclusions le 11 mai 2020, et Sky a reconnu le problème et a fixé une date de fixation pour novembre 2020.

C’était au-dessus des 90 jours standard de divulgation des vulnérabilités, mais les chercheurs l’ont accepté sans objection puisque le FAI faisait face à des charges de trafic inhabituelles dues au verrouillage de COVID-19.

Le correctif de réparation n’est jamais arrivé et Sky a finalement révisé le plan, promettant de réparer 50% des modèles concernés d’ici mai 2021, ce qui a été accompli.

L’autre moitié étant toujours vulnérable et PenTestPartners estimant que Sky n’agissait pas avec beaucoup d’urgence, les chercheurs ont contacté la presse en août afin d’exercer une pression supplémentaire.

Finalement, le 22 octobre 2021, Sky a envoyé un e-mail pour dire que Sky avait réparé 99% de tous les routeurs vulnérables via une mise à jour.

Cela faisait plus de 17 mois depuis la divulgation initiale, laissant les utilisateurs vulnérables aux attaques de rebinding DNS pendant une période où beaucoup d’entre eux travaillaient à domicile.