Sécurité IT : quand les routeurs deviennent cibles

Phishing, fraude au clic, vol de données personnelles… Autant de forfaits qui peuvent être commis en détournant plus de 50 modèles de routeurs domestiques d’une quinzaine de marques différentes par le biais d’une attaque informatique fondée sur une simple faille dans un navigateur Web.

Tel est le constat établi, sur son blog « Malware don’t need Coffee », par un chercheur en sécurité informatique qui se présente sous le pseudo Kafeine.

Le routeur n’est pas une cible directe pour les cybercriminels. Ces derniers s’appuient sur le voisinage réseau (PC, tablettes, smartphones…) à travers un script malveillant inséré dans des pages Web compromises, voire caché dans des bannières publicitaires.

Un tel scénario est typique. Les scripts utilisés redirigent généralement vers un serveur dont les pirates ont le contrôle et sur lequel se trouve une charge utile destinée à déterminer plusieurs caractéristiques de la machine qui a lancé la requête (système d’exploitation, adresse IP, type de navigateur, plugins installés) pour ensuite l’infecter avec des outils sur mesure.

Le fonctionnement est un peu différent dans le cas de l’attaque repérée par Kafeine. On retrouve le mécanisme de redirection vers un serveur malveillant, mais le code lancé à la connexion n’a pas le même objectif : il s’agit en l’occurrence de repérer le modèle de routeur utilisé, pour ensuite modifier ses paramètres DNS.

Sur le principe d’un annuaire, le système de résolution DNS (« Domain Name Servers ») gère l’association d’URL et d’adresses IP. Lorsque l’on tape le nom d’un site dans un navigateur Web, celui-ci sollicite le système d’exploitation pour récupérer l’IP correspondante ; une requête est alors lancée vers le routeur, qui contacte les serveurs définis dans son fichier de configuration (il s’agit souvent, par défaut, des serveurs du fournisseur d’accès).

Si un tiers parvient à se placer à un endroit de la chaîne, il peut en théorie détourner le trafic vers des serveurs contrôlés par ses soins et hébergeant souvent des sites malveillants d’apparence légitime.

Le risque CSRF

Dans l’absolu, il est difficile de prendre le contrôle d’un routeur sur lequel les accès distants sont bloqués. Mais ce n’est pas impossible. Témoin la technique dite de « Cross-site Request Forgery » (CSRF), qui permet de contourner les mécanismes d’authentification en faisant réaliser à une victime des actions à son insu. Notamment des requêtes HTTP… y compris vers une adresse IP locale. Une porte grande ouverte vers l’interface d’administration du routeur.

Le kit d’attaque (« exploit ») découvert par Kafeine utilise le CSRF pour modifier les paramètres DNS. Soit en exploitant plusieurs failles connues pour injecter des commandes, soit en tentant de se connecter avec les identifiants et mots de passe par défaut des routeurs.

Le premier DNS du routeur est affecté à un serveur pirate (Kafeine a repéré les adresses IP 185.82.216.86, 37.139.50.45 ou encore 217.12.202.93). Quant au deuxième, destiné à prendre le relais du premier en cas de défaillance, il est paramétré sur les DNS de Google. Ainsi, lorsque le serveur pirate tombe, le routeur continue de fonctionner normalement sans éveiller les soupçons.

Au moins quatre vulnérabilités connues sont mises en jeu. L’une date de 2008, mais certains routeurs n’ont toujours pas bénéficié du correctif ad hoc. Pour beaucoup de modèles, le patch ne peut être appliqué que manuellement, ce qui complique le processus.

Entre le 7 et le 12 mai, le serveur pirate a reçu en moyenne plus de 250 000 visiteurs uniques par jour, avec un pic à près d’un million le 9 mai. Les pays les plus touchés sont les Etats-Unis, la Russie, la Chine, l’Australie, le Brésil et l’Inde.

Crédit photo : Afonso Duarte – Shutterstock.com