Des routeurs chinois vendus sous les marques Jetstream, Ematic ou Wavlink contiennent un backdoor, une porte dérobée qui permet un accès depuis Internet. Cette faille permet d’exécuter du code à distance et de prendre le contrôle de l’appareil, ainsi que d’attaquer d’autres équipements connectés au réseau.
au sommaire
Des routeurs fabriqués en Chine et vendus par Amazon, eBay et Walmart contiennent une porte dérobéeporte dérobée permettant à un intrus de les commander à distance, selon le site CyberNews. Trois chercheurs en cybersécurité du site ont tout d'abord découvert une faille de type backdoor dans les appareils de la marque Jetstream, vendus en exclusivité par le géant américain de la grande distribution Walmart.
La faille permet à un intrus d'exécuter du code à distance et d'intercepter toutes les données qui transitent par le routeur. Les chercheurs ont repéré une tentative d'exploiter le backdoor pour les transformer en appareils zombies connectés au botnet Mirai. Le problème ne se limite pas au routeur, puisqu'une fois compromis il peut être utilisé pour attaquer tout équipement connecté. De plus, les appareils contiennent un script pour détecter et se connecter à d'autres réseaux Wi-Fi à proximité.
Une interface graphique cachée
La faille nécessite tout de même qu'un utilisateur légitime soit connecté au routeur, qui autorise alors les connexions à distance sans s'assurer qu'il s'agit de la même session. L'intrus accède alors à une interface graphique cachée, différente de la console d'administration utilisateur. Les appareils sont aussi vendus sous la marque Ematic et les chercheurs ont découvert la même faille dans les routeurs, ainsi que les répéteurs Wi-Fi, de la marque Wavlink. Les deux entreprises proposent des appareils quasiment identiques, et seraient filiales de la firme Winstars Technology.
Les chercheurs ont tenté de contacter le constructeur dès le mois de février, sans obtenir de réponse. Ils conseillent donc à toute personne ayant acheté un routeur d'une de ces marques de le déconnecter tout de suite, d'analyser tous leurs appareils pour la présence d'un virus, et de changer tous leurs mots de passe.