Faille des routeurs Zyxel, un cas d'école

Par JustHouz, 4 janv. 2021. Lien permanent Analyse

Analyse

Une faille très sérieuse a été mise à jour par une équipe de chercheurs en sécurité informatique néerlandaise.^[1] Elle touche une large gamme de routeus et pare-feu de la marque Zyxel. Les équipements informatiques connaissent souvent dans leur cycle de vie des problèmes techniques et sont régulièrement mis à jour par leur constructeur. Mais cette faille est notable à plusieurs titres. On y reviendra plus loin dans ce billet. Tout d'abord, de quoi s'agit-il?

Mot de passe en dur, une faille classique pourtant facile à éviter

La série d'appareils touchés présente un des pires failles possible : la présence d'un utilisateur avec les droits d'adiministration complet, le tout avec un identifiant et un mot de passe inscrit dans le micrologiciel de tous les appareils des gammes touchées.

A la limite, on peut comprendre que par facilité, les constructeurs insèrent ce type d'identifiant dans les appareils de test pendant la phase de dévéloppement. Cependant, il est stupide, voire criminel, de les laisser dans les versions définitives distribuées au public. Et encore, on peut se mettre d'accord sur des identifiants à utiliser pendant la phase de protoypage sans les insérer en dur dans l'OS. Cela limite les risque d'oublier de les ôter des versions publiques. En bref, c'est inexcusable de la part de Zyxel d'avoir recours à cette méthode.

Ou était donc "caché" cet identifiant sensible? Tout simplement dans le code du micrologiciel des appareils incriminés. En gros, il suffisait de télécharger une version sur le site du constructeur (comme pour faire une mise à jour ou réinitialiser l'appareil) et de fouiller un peu dans les binaires pour le trouver inscrit en clair. Par conséquent, il ne faut pas s'étonner que quelqu'un d'un peu curieux ait fini par le trouver?

La sécurité par le secret, ça ne marche pas

C'est là le fond du problème, Un identifiant de ce type finit toujours par sortir des laboratoires, et ce pour de multiples raisons. Un employé mécontent quitte l'entreprise avec des informations sensibles pour lui nuire, une machine volée avec des informations sensibles, un bug dans une application, un serveur de dépot de code ouvert au public par erreur, etc.

Les causes peuvent être nombreuses. Dans tout les cas, baser la sécurité d'un système informatique sur une information sensible seulement confiée à des initiés, c'est largement insuffisant et très dangereux. Car l'ensemble des appareils sont potentiellement administrables par qui connait cet indentifiant impossible à changer.

Zyxel et les mots de passe en dur, round deux et KO technique!

C'est là que le bât blesse. Zyxel n'en est pas à son coup d'essai. Déjà en 2016, une faille similaire avait été découverte. On est bien en face d'une mauvaise pratique qui perdure chez le constructeur. Mais on franchit cette fois une étape supplémentaire. En 2016, la faille n'affectait que des produits de type routeurs domestiques. Cette fois la liste des produits affectés est plus large et touche le haut de la gamme du constructeur. On a affaire à toute une liste de boitiers routeurs, pare-feu et VPN. Des produits utilisés en entreprise donc.

De plus, autant la faille de 2016 se limitait au protocole telnet, autant cette fois, les identifiants peuvent être utilisés en https sur le port 443 par défaut. On peut donc imaginer des équipements réseau montés par exemple sur une DMZ^[2] qui exposent ces identifiants à n'importe qui d'assez curieux pour faire une recherche sur un outil du type de Shodan. Une fois sur l'interface, rien n'empêche de modifier des paramètres clés pour rerouter une partie du trafic ou simplement récupérer des identifiants de VPN pour se connecter à distance sur les serveurs de l'entreprise et y voler des secret industriels ou des données confidentielles.

Des correctifs publiés en urgence... ou pas

Une partie des équipements touchés a vu son micrologiciel mis à jour pour supprimer ces identifiants. Une partie seulement. Pour les autres, il va falloir attendre quelques jours, jusque début janvier. Et encore, au départ il était question d'avril.

Liste des équipements touchés :

Pare-feu Advanced Threat Protection (ATP)
Pare-feu hybride et passerelle VPN Unified Security Gateway (USG)
Pare-feu hybride et passerelle VPN USG FLEX
Passerelle VPN de la série VPN
Controller de point d'accès WLAN NXC

Si vous êtes touchés, rendez-vous à cette adresse pour les informations ed mise à jour : https://www.zyxel.com/support/CVE-2020-29583.shtml

Piqure de rappel. Quelques règles simples à retenir pour tout nouveaux matériel réseau installé

changer les identifiants du compte administrateur
appliquer les règles de filtrage de bon sens : on coupe tout et on n'ouvre que les ports protocoles, comptes nécessaires
vérifier régulièrement l'utilité des règles de filtrage, supprimer celles qui sont obsolètes
mettre à jour régulièrement le micrologiciel

Note(s)

^{^}Source : https://www.eyecontrol.nl/blog/undocumented-user-account-in-zyxel-products.html
^{^}DMZ : de l'anglais pour zone démilitarisée. En informatique, cela désigne une portion du réseau ouverte sur l'extérieur. Par exemple pour rendre accessible un serveur web ou de mail, mais pas les machines du réseau local.

3 réactions

Fil des commentaires de ce billet