IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un ver se glisse dans les systèmes Linux embarqués


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 566
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 566
    Points : 155 714
    Points
    155 714
    Par défaut Un ver se glisse dans les systèmes Linux embarqués
    Un ver se glisse dans les systèmes Linux embarqués,
    Linux.Darlloz s'attaque à l'architecture Intel x86

    Kaoru Hayashi, un chercheur de Symantec, a découvert un ver qui s'exécute sur les systèmes Linux embarqués, à l'instar de ceux qu'on trouve dans les décodeurs et les routeurs. Baptisé Linux.Darlloz, il se propage en exploitant une vulnérabilité PHP dont le correctif de sécurité a été publié il y a 18 mois déjà. Ainsi, les appareils qui utilisent d'anciennes versions de PHP peuvent être vulnérables à l'attaque.

    « Lors de l'exécution, le ver génère des adresses IP au hasard, accède à un chemin spécifique sur la machine avec des ID et mots de passe bien connus, et envoie des requêtes HTTP POST, qui exploitent la vulnérabilité », a expliqué Hayashi. « Si la cible est non patchée, il télécharge le ver depuis un serveur malveillant et commence à chercher sa prochaine cible. Actuellement, le ver semble infecter uniquement les systèmes Intel x86, car l'URL téléchargée dans le code de l'exploit est codée en dur en ELF binaire pour les architectures Intel ».

    Le chercheur a ajouté que l'attaque derrière la version Intel est également l'hôte de fichiers ELF qui exploitent les autres architectures de puces parmi lesquelles ARM, PPC, MIPS et MIPSEL.


    Pour protéger les appareils contre les attaques, la société recommande aux utilisateurs et aux administrateurs de mettre sur pied une protection de sécurité de base comme la modification des mots de passe des périphériques par défaut ou encore la mise à jour du logiciel et du micrologiciel de leurs appareils.

    « De nombreux utilisateurs peuvent ne pas être conscients du fait qu'ils utilisent des appareils vulnérables dans leurs maisons ou bureaux » avertit Hayashi. « Une autre question à laquelle nous pourrions faire face est que, même si les utilisateurs remarquent que leurs dispositifs sont vulnérables, certains vendeurs ne fournissent aucune mise à jour produit en raison de la technologie obsolète ou des limitations matérielles, comme le fait de ne pas avoir assez de mémoire ou un processeur qui est trop lent pour supporter les nouvelles versions du logiciel ».

    Source : Symantec

    Et vous ?

    Qu'en pense-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 236
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 236
    Points : 19 642
    Points
    19 642
    Billets dans le blog
    17
    Par défaut
    Qu'en pensez-vous ?
    J'aimerai bien savoir ce qui équipe nos box, pour savoir si on est concerné.
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  3. #3
    Membre à l'essai
    Profil pro
    Étudiant
    Inscrit en
    juin 2013
    Messages
    8
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2013
    Messages : 8
    Points : 23
    Points
    23
    Par défaut
    En ce qui concerne la Freebox, je sais qu’elle tourne sur du Linux. Pour les autres box, aucune idée.

  4. #4
    Nouveau membre du Club
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 48
    Points : 33
    Points
    33
    Par défaut Les Box ne sont pas concernées
    Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
    En plus, les box sont misent à jour automatiquement s'ils le souhaitent, même sans action de l'utilisateur.

  5. #5
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 963
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 963
    Points : 27 040
    Points
    27 040
    Par défaut
    Citation Envoyé par dsant Voir le message
    Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
    Sur ce point là, je serais moins catégorique. Sauf à être dans les petits papiers de chacun des fabricant des box de chacun des FAI pour pouvoir affirmer, il ne sera pas étonnant (malheureusement) de découvrir un jour qu'une des portes d'entrée sur une des box n'ait pas été correctement protégées.
    (Et puis ce problème ne concerne pas que les box dans le réseau)

    Citation Envoyé par dsant Voir le message
    En plus, les box sont misent à jour automatiquement s'ils le souhaitent, même sans action de l'utilisateur.
    Certes, mais il ne faut pas perdre de vue que mises à jour automatique et régulières ne signifie pas pour autant que cette faille spécifique ait été corrigée par l'une des mises à jours

    Et puis, concernant Free (je ne connais pas la politique des autres), si la v6 est mise à jour très souvent, elles ne sont pas aussi fréquentent pour la V5 et il y a bien longtemps que la V4 n'a pas reçue.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  6. #6
    Membre averti
    Profil pro
    Inscrit en
    mars 2013
    Messages
    397
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2013
    Messages : 397
    Points : 424
    Points
    424
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Sur ce point là, je serais moins catégorique. Sauf à être dans les petits papiers de chacun des fabricant des box de chacun des FAI pour pouvoir affirmer, il ne sera pas étonnant (malheureusement) de découvrir un jour qu'une des portes d'entrée sur une des box n'ait pas été correctement protégées.
    (Et puis ce problème ne concerne pas que les box dans le réseau)
    Perso je serais étonné qu'il n'y ait pas déjà des hackers possédant une 0day sur la plupart des box.
    Avec les programmes-résidant, c'est ce qu'il y a de mieux pour pouvoir s'infiltrer en masse.
    C'est même encore mieux que les p-résidant car ça ne laisse aucune trace sur le pc (en dehors de l'ip).

    Un exemple tout simple, une 0day qui permettrait de spoofer/hooker la table de Nat d'une box afin d'y placer l'ip de l'attaquant et initier un MITM permanent..
    N'importe quelle personne devenant la cible du hacker se ferait voler soit ses mots de passes, soit ses cookie, soit les deux. Plus les conversations privées sur les réseaux sociaux etc..
    Discretion absolue, car la victime ne pourrait rien voir, même via une capture réseau.

    Je suis sur que ce genre de hack existent déjà depuis un bail.

  7. #7
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    10 024
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 10 024
    Points : 27 447
    Points
    27 447
    Par défaut
    Citation Envoyé par imikado Voir le message
    Qu'en pensez-vous ?
    J'aimerai bien savoir ce qui équipe nos box, pour savoir si on est concerné.
    A ma connaissance, aucune box ne tourne sur des processeurs x86, donc tu es tranquille.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  8. #8
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 236
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 236
    Points : 19 642
    Points
    19 642
    Billets dans le blog
    17
    Par défaut
    Ok merci

    Ca me fait penser à une vieille affaire d'une faille présente sur certaines webcam qui permettait de voir via celle-ci même si elles n'étaient pas connectée.

    Le problème: seuls les personnes connectés et faisant de la veille savait qu'il fallait mettre à jour le firmware de la dite webcam, les autres (la plus grande majorité) n'ont jamais su voir ne savent toujours pas qu'ils en sont victime

    source: http://www.clubic.com/materiel-infor...s-webcams.html
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  9. #9
    Membre habitué
    Profil pro
    Inscrit en
    mai 2005
    Messages
    155
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mai 2005
    Messages : 155
    Points : 199
    Points
    199
    Par défaut
    Citation Envoyé par dsant Voir le message
    Non, les box des FAI français ne sont pas concernées : il n'y a pas de login = Admin et password=password qui trainent.
    Cela me fait penser à l'alicebox.
    Un jour, j'avais besoin de modifier un truc wifi dedans, du coup j'ai téléphoné au sav pour avoir les mots de passes / login.

    celui de l'utilisateur :
    login qui est un numéro bien long
    password incompréhensible de 24 caractères.

    celui du root:
    admin
    alicebox

    A noté qu'il a fallu bien insisté pour avoir le mot de passe root. Je me demande si c’était plus par peur que je fasse de la merde ou par honte...

  10. #10
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    novembre 2011
    Messages
    2 202
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2011
    Messages : 2 202
    Points : 7 457
    Points
    7 457
    Billets dans le blog
    3
    Par défaut
    Bon, c'est vendredi alors je me le permet.

    Au passage hayashi, le nom du gentil monsieur qui signale ce problème, ressemble fortement à ayashii qui veut dire "louche" en japonais. Il a bien trouvé son boulot celui-là {^_^}.
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  11. #11
    Membre averti
    Profil pro
    Inscrit en
    mars 2013
    Messages
    397
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2013
    Messages : 397
    Points : 424
    Points
    424
    Par défaut
    Pour en revenir à mon post précédant, je viens de me rappeler d'une découverte de l'époque que je-ne-sais-plus-qui avait fait.
    Ils avaient découvert que des hackers avaient utilisé pendant longtemps (je ne sais plus si ça se comptait en mois ou années) les modems Olitec (56 ou 128k, je ne sais plus non plus) comme passerelle pour faire des hacks..

    En gros, ils pouvaient accéder au modem de n'importe quel utilisateur via une 0day, et s'en servir comme passerelle pour leur méfaits.
    C'était donc l'ip du modem qui apparaissait lors du hack et non leur ip à eux.

    C'est une très vieille affaire, qui date du temps de ces modems, donc je ne sais pas si l'info peut être retrouvée.

Discussions similaires

  1. Réponses: 1
    Dernier message: 23/10/2008, 12h11
  2. certifications dans les systèmes temps réels et embarqués
    Par christianf dans le forum Certifications
    Réponses: 3
    Dernier message: 19/09/2008, 10h38
  3. fichier commun à tous les systèmes Linux
    Par Shugo78 dans le forum Administration système
    Réponses: 11
    Dernier message: 13/06/2007, 22h51
  4. Réponses: 8
    Dernier message: 05/02/2007, 13h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo