ASUS avertit les clients de routeurs : patchez maintenant ou bloquez toutes les requêtes entrantes

ASUS est un fabricant bien connu de produits électroniques populaires, allant des ordinateurs portables et téléphones aux routeurs domestiques et cartes graphiques.

Cette semaine, la société a publié mises à jour du firmware pour une large gamme de ses routeurs domestiques, ainsi qu'un avertissement fort que si vous ne souhaitez pas ou ne pouvez pas mettre à jour votre micrologiciel pour le moment, vous devez :

[Désactiver] les services accessibles du côté WAN pour éviter les potentielles intrusions indésirables. Ces services incluent l'accès à distance depuis le WAN, la redirection de port, le DDNS, le serveur VPN, la DMZ, le déclencheur de port.

Nous supposons qu'ASUS s'attend à ce que les attaquants potentiels s'affairent à sonder les appareils exposés maintenant qu'une longue liste de corrections de bogues a été publiée.

(Bien sûr, des attaquants bien informés ont peut-être déjà eu connaissance de certains, de nombreux ou de tous ces trous, mais nous ne sommes au courant d'aucun exploit zero-day dans la nature.)

Comme nous l'avons déjà souligné sur Naked Security, les exploits sont souvent beaucoup plus faciles à comprendre si vous avez des panneaux indiquant où chercher…

… de la même manière qu'il est beaucoup plus rapide et facile de trouver une aiguille dans une botte de foin si quelqu'un vous dit dans quelle balle elle se trouve avant de commencer.

.s-bouton+.s-bouton { marge-gauche : .3125rem ; } .s-bouton { transition : tous les 15 s linéaires ; taille de police : .875 rem ; hauteur de ligne : 1.5 ; couleur : #f2f2f2 ; famille de polices : SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif ; poids de la police : 400 ; style de police : normal ; affichage : bloc en ligne ; rembourrage : 3125 rem 1.25 rem ; curseur : pointeur ; aligner le texte : centrer ; décoration de texte : aucune ; bordure : 1px solide #005bc8 ; rayon de bordure : 3 px ; couleur de fond : #005bc8 ; texte-ombre : aucun ; } .s-button:hover { text-decoration: none; couleur : #fff ; couleur de bordure : #002d62 ; couleur de fond : #002d62 ; } .s-bouton–blanc, .s-bouton–blanc:hover { couleur : #005bc8 !important; border-color : #fff ; couleur de fond : #fff ; } .s-ad-sophos-mdr { taille de police : 1rem ; hauteur de ligne : 1.5 ; couleur : #242629 ; famille de polices : SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif ; poids de la police : 400 ; style de police : normal ; position : relative ; largeur maximale : 769px ; marge : 15px automatique ; rembourrage : 30px 30px 25px ; transition: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); aligner le texte : centrer ; couleur de fond : #0d141d ; répétition d'arrière-plan : pas de répétition ; arrière-plan : 50 % ; taille de fond : couverture ; boîte-ombre : 0 0 0 0 0 transparent ; couleur de fond : #005bc8 ; image d'arrière-plan : aucune ; position d'arrière-plan : 0 0 ; } .s-ad-sophos-mdr__title { font-size: 2rem; hauteur de ligne : 1.125 ; marge inférieure : 4px ; couleur : #fff ; } .s-ad-sophos-mdr__text { font-family: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; poids de la police : 400 ; style de police : normal ; taille de police : 17 px ; couleur : #fff ; } .s-ad-sophos-mdr__action { margin-top : 15px ; } .s-ad-sophos-mdr__action .s-button { couleur : #fff; } .s-ad-sophos-mdr__link-wrapper { text-decoration: none; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { position : absolue ; haut : 15px ; droite : 15px ; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; largeur : 64 px ; hauteur : 11px ; alignement vertical : haut ; répétition d'arrière-plan : pas de répétition ; taille d'arrière-plan : 64px 11px ; } .s-ad-sophos-mdr__title { font-family: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; poids de la police : 400 ; style de police : normal ; taille de police : 28 px ; poids de la police : 700 ; hauteur de ligne : 1 ; marge inférieure : 10px ; aligner le texte : à gauche ; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { font-size: 16px; hauteur de ligne : 1.25 ; aligner le texte : à gauche ; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (min-width:769px) { .s-ad-sophos-mdr__text { margin-right: 140px; } .s-ad-sophos-mdr__action { position : absolue ; droite : 30px ; bas : 30px ; } } @media (max-width : 768px) { .s-ad-sophos-mdr { padding-top : 50px ; } .s-ad-sophos-mdr__title { font-size: 1.625rem; } .s-ad-sophos-mdr__text { font-size: 16px; } .s-ad-sophos-mdr { padding-top : 30px ; } }

Faites ce que nous disons, pas ce que nous faisons.

Ce qui est peut-être ennuyeux pour les clients ASUS, c'est que deux des vulnérabilités désormais corrigées attendent d'être corrigées depuis longtemps.

Les deux ont un "score de danger" de 9.8/10 et une cote CRITIQUE dans le NVD américain, ou Base de données nationale sur la vulnérabilité (rapports paraphrasés par nos soins):

CVE-2022-26376. Corruption de la mémoire dans la fonctionnalité httpd unescape. Une requête HTTP spécialement conçue peut entraîner une corruption de la mémoire. Un attaquant peut envoyer une requête réseau pour déclencher cette vulnérabilité. (Score de base : 9.8 CRITIQUE.)
CVE-2018-1160. Netatalk avant 3.1.12 [publié le 2018-12-20] vulnérable à une écriture hors limites. Cela est dû au manque de vérification des limites sur les données contrôlées par l'attaquant. Un attaquant distant non authentifié peut exploiter cette vulnérabilité pour réaliser l'exécution de code arbitraire. (Score de base : 9.8 CRITIQUE.)

Expliquer.

nettalk est un composant logiciel qui prend en charge les réseaux de type Apple, mais cela ne signifie pas qu'un attaquant aurait besoin d'utiliser un ordinateur Macintosh ou un logiciel Apple pour déclencher le bogue.

En fait, étant donné qu'un exploit réussi nécessiterait des données réseau délibérément malformées, le logiciel client Netatalk légitime ne ferait probablement pas le travail de toute façon, donc un attaquant utiliserait un code créé sur mesure et pourrait théoriquement monter une attaque à partir de n'importe quel système d'exploitation sur n'importe quel ordinateur. avec une connexion réseau.

HTTP s'échapper et ne pas s'échapper est nécessaire chaque fois qu'une URL inclut un caractère de données qui ne peut pas être directement représenté dans le texte de l'URL.

Par exemple, les URL ne peuvent pas inclure d'espaces (pour s'assurer qu'elles forment toujours un bloc unique et contigu de texte imprimable), donc si vous voulez référencer un nom d'utilisateur ou un fichier qui contient un espace, vous devez échapper le caractère espace en le convertissant en signe de pourcentage suivi de son code ASCII en hexadécimal (0x20, ou 32 en décimal).

De même, comme cela donne une signification particulière au caractère de pourcentage lui-même, il doit également être écrit sous la forme d'un signe de pourcentage (%) suivi de son code ASCII (0x25 en hexadécimal ou 37 en décimal), ainsi que d'autres caractères utilisés distinctement dans les URL, tels que deux-points (:), barre oblique (/), point d'interrogation (?) et esperluette (&).

Une fois reçu par un serveur Web (le programme appelé httpd dans les informations CVE ci-dessus), tous les caractères échappés sont non échappé en les reconvertissant de leurs formes codées en pourcentage aux caractères de texte d'origine.

La raison pour laquelle ASUS a mis tant de temps à corriger ces bogues particuliers n'est pas mentionnée dans l'avis officiel de la société, mais la gestion des "codes d'échappement" HTTP est un élément fondamental de tout logiciel qui écoute et utilise des URL Web.

Autres bogues répertoriés CVE corrigés

CVE-2022-35401. Contournement de l'authentification. Une requête HTTP spécialement conçue peut conduire à un accès administratif complet à l'appareil. Un attaquant devrait envoyer une série de requêtes HTTP pour exploiter cette vulnérabilité. (Score de base : 8.1 ÉLEVÉ.)
CVE-2022-38105. Divulgation d'information. Des paquets réseau spécialement conçus peuvent conduire à la divulgation d'informations sensibles. Un attaquant peut envoyer une requête réseau pour déclencher cette vulnérabilité. (Score de base : 7.5 ÉLEVÉ.)
CVE-2022-38393. Déni de service (DoS). Un paquet réseau spécialement conçu peut entraîner un déni de service. Un attaquant peut envoyer un paquet malveillant pour déclencher cette vulnérabilité. (Score de base : 7.5 ÉLEVÉ.)
CVE-2022-46871. Bugs potentiellement exploitables dans l'open-source libusrsctp bibliothèque. SCTP signifie Stream Control Transmission Protocol. (Score de base : 8.8 ÉLEVÉ.)
CVE-2023-28702. Caractères spéciaux non filtrés dans les URL. Un attaquant distant avec des privilèges d'utilisateur normaux peut exploiter cette vulnérabilité pour effectuer des attaques par injection de commande afin d'exécuter des commandes système arbitraires, perturber le système ou mettre fin au service. (Score de base : 8.8 ÉLEVÉ.)
CVE-2023-28703. Débordement de tampon. Un attaquant distant avec des privilèges d'administrateur peut exploiter cette vulnérabilité pour exécuter des commandes système arbitraires, perturber le système ou mettre fin au service. (Score de base : 7.2 ÉLEVÉ.)
CVE-2023-31195. Détournement de session. Cookies sensibles utilisés sans le Secure ensemble d'attributs. Un attaquant pourrait utiliser un faux lien Web HTTP (non crypté) pour détourner des jetons d'authentification qui ne devraient pas être transmis non cryptés. (PAS DE SCORE.)

Le bogue le plus notable de cette liste est peut-être CVE-2023-28702, une attaque par injection de commande qui ressemble à la Bogues MOVEit qui ont défrayé la chronique ces derniers temps.

Comme nous l'avons expliqué à la suite du bogue MOVEit, un paramètre de commande est envoyé dans une URL Web, par exemple une requête demandant au serveur de commencer à vous connecter en tant qu'utilisateur DUCK, ne peuvent pas être transmis directement à une commande au niveau du système en copiant aveuglément et en toute confiance le texte brut de l'URL.

En d'autres termes, la demande :

https://example.com/?user=DUCK

… ne peut pas simplement être converti via un processus direct de « copier-coller » en une commande système telle que :

checkuser --name=CANARD

Sinon, un attaquant pourrait essayer de se connecter en tant que :

https://example.com/?user=DUCK;halt

…et inciter le système à exécuter la commande :

checkuser --name=CANARD;halt

…ce qui revient à émettre les deux commandes distinctes ci-dessous, dans l'ordre :

checkuser --name=DUCK stop

… où la commande sur la deuxième ligne arrête tout le serveur.

(Le point-virgule agit comme un séparateur de commande, et non comme faisant partie des arguments de la ligne de commande.)

Séance de détournement

Un autre bogue inquiétant est le problème de piratage de session causé par CVE-2023-31195.

Comme vous le savez probablement, les serveurs gèrent souvent les connexions Web en envoyant un soi-disant cookie de session à votre navigateur pour indiquer que "quiconque connaît ce cookie est supposé être la même personne qui vient de se connecter".

Tant que le serveur ne vous donne pas l'un de ces cookies magiques avant que vous ne vous soyez identifié, par exemple en présentant un nom d'utilisateur, un mot de passe correspondant et un code 2FA valide, un attaquant aurait besoin de connaître vos identifiants de connexion pour soyez authentifié comme vous en premier lieu.

Et tant que ni le serveur ni votre navigateur n'envoient accidentellement le cookie magique via une ancienne connexion HTTP non-TLS, non cryptée, un attaquant ne pourra pas facilement attirer votre navigateur vers un serveur imposteur qui utilise HTTP à la place de HTTPS, et donc de lire le cookie de la requête Web interceptée.

N'oubliez pas qu'attirer votre navigateur vers un domaine imposteur tel que http://example.com/ est relativement facile si un escroc peut temporairement tromper votre navigateur en utilisant le mauvais numéro IP pour le example.com domaine.

Mais vous attirer à https:/example.com/ signifie que l'attaquant doit également proposer un certificat Web falsifié de manière convaincante, pour fournir une validation de serveur frauduleuse, ce qui est beaucoup plus difficile à faire.

Pour empêcher ce type d'attaque, les cookies qui ne sont pas publics (que ce soit pour des raisons de confidentialité ou de contrôle d'accès) doivent être étiquetés Secure dans l'en-tête HTTP qui est transmis lorsqu'ils sont définis, comme ceci :

Set-Cookie : AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL ; Sécurisé

… au lieu de simplement :

Set-Cookie : AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL

Que faire?

Si vous avez un routeur ASUS affecté (la liste est ici), corrigez dès que vous le pouvez. Ce n'est pas parce qu'ASUS l'a laissé pendant des lustres pour vous fournir les correctifs que vous pouvez prendre aussi longtemps que vous le souhaitez pour les appliquer, surtout maintenant que les bogues impliqués sont de notoriété publique.
Si vous ne pouvez pas patcher immédiatement, bloquez tous les accès entrants à votre routeur jusqu'à ce que vous puissiez appliquer la mise à jour. Notez qu'il ne suffit pas d'empêcher les connexions HTTP ou HTTPS (trafic Web). ASUS avertit explicitement que toute requête réseau entrante pourrait être abusée, de sorte que même la redirection de port (par exemple pour les jeux) et l'accès VPN doivent être carrément bloqués.
Si vous êtes programmeur, nettoyez vos entrées (pour éviter les bogues d'injection de commandes et les débordements de mémoire), n'attendez pas des mois ou des années pour envoyer des correctifs pour les bogues à haut score à vos clients et examinez vos en-têtes HTTP pour vous assurer que vous utilisez les options les plus sécurisées possibles lors de l'échange de données critiques telles que des jetons d'authentification.

Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
Financement EVM. Interface unifiée pour la finance décentralisée. Accéder ici.
Groupe de médias quantiques. IR/PR amplifié. Accéder ici.
PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
La source: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/

Intelligence de données générative

ASUS avertit les clients des routeurs : corrigez-les maintenant ou bloquez toutes les requêtes entrantes

Faites ce que nous disons, pas ce que nous faisons.

Autres bogues répertoriés CVE corrigés

Séance de détournement

Que faire?

OSBI procède à plusieurs arrestations dans le cadre de vols de cultures de marijuana – Medical Marijuana Program Connection

Carlie Hanson rend hommage avec sa reprise sincère de "Nutshell" d'Alice In Chains

Dernières informations

Hyundai construira davantage d’hybrides pour compléter le ralentissement de la demande de véhicules électriques – Autoblog

Drake menacé de poursuites pour les voix de Tupac AI

NFT Trump Bitcoin exclusifs avec ordinaux personnalisés pour les acheteurs de « Mugshot Edition » – CryptoInfoNet

Une entreprise propose une formation en littératie financière numérique aux Nigérians – CryptoInfoNet

BDAG en tête du top 5 des préventes de crypto prometteuses de 2024

Comment évaluer le sentiment du marché avant d'acheter une crypto-monnaie