Des centaines de millions de modems câble de divers fabricants peuvent être exposés à une vulnérabilité critique qui peut permettre aux attaquants d'intercepter les messages privés des utilisateurs ou de rediriger leur trafic Internet, selon une nouvelle recherche.

Connue sous le nom de CVE-2019-19494 et surnommée Cable Haunt, la vulnérabilité aurait affecté jusqu'à récemment presque tous les modems câble en Europe, et beaucoup d'entre eux sont toujours en danger. Comment cela se fait-il? Les chercheurs du cabinet de conseil en sécurité Lyrebirds, basé au Danemark, qui ont découvert la faille de sécurité et détaillé leurs conclusions dans un document téléchargeable sur ce site Web dédié, l'expliquent ainsi :

« On estime à 200 millions le nombre de modems câble et ce, rien qu'en Europe. Comme pratiquement aucun modem câble testé n'est sécurisé sans une mise à jour du micrologiciel, le nombre de modems initialement vulnérables en Europe est estimé proche de ce nombre ». Certains fournisseurs d'accès à Internet (FAI) ont récemment été informés du problème et ont envoyé des microprogrammes pour y remédier. Quoi qu'il en soit, on soupçonne fortement qu'il existe de ces modems plus vulnérables partout à travers le monde.

Le fantôme dans le modem

La faille réside dans le logiciel de référence qui fait fonctionner l'outil d'analyse de spectre sur les puces fabriquées par la société de semi-conducteurs Broadcom. Le composant de l'analyseur de spectre, qui est chargé de repérer et de déboguer les problèmes de connexion par câble des modems, est utilisé par divers fabricants de modems câble dans le micrologiciel de leurs appareils - d'où le nombre apparemment très élevé de modems vulnérables.

Bien que l'analyseur de spectre soit exposé au réseau local, les attaquants pourraient quand même abuser de Cable Haunt pour accéder à distance de n'importe où dans le monde. Les modems se sont avérés vulnérables à l'exécution de code à distance par le biais d'une connexion WebSocket, qui est lancée après que la victime ait été attirée vers un site Web piégé qui sert du code JavaScript malveillant. L'attaque par débordement de la mémoire tampon qui s'ensuit permet aux acteurs de la menace d'accéder au modem, tandis que les mécanismes de sécurité du navigateur sont contournés avec succès par une attaque de type DNS rebinding.

« L'exploit est possible en raison d'un manque de protection : autorisation adéquate du client Web, justificatifs d'identité par défaut et erreur de programmation dans l'analyseur de spectre. Ces vulnérabilités peuvent donner à un attaquant le contrôle total à distance de toute l'unité et de tout le trafic qui la traverse, tout en étant invisible pour l'utilisateur et le FAI et en pouvant ignorer les mises à jour du système à distance », soulignent les chercheurs.

Les actions malveillantes possibles comprennent l'altération des paramètres DNS, le remplacement du micrologiciel du modem, l’incorporation des dispositifs au sein d’un réseau de zombies ou la conduite d'attaques à distance de type  Man-in-the-Middle (ou MitM) pour intercepter des informations privées.

L'équipe de recherche a créé un exploit de validation de principe (POC) et l'a testé avec succès contre de multiples versions de micrologiciels sur plusieurs modems câble de Sagemcom, Netgear, Arris, Compal et Technicolor. Une liste complète des modems et des versions de micrologiciels dont la vulnérabilité a été confirmée est disponible sur le site Web susmentionné. Le code POC est également disponible, ce qui permet aux utilisateurs de vérifier si leur modem câble particulier peut également être vulnérable.

Que peut-on faire (de plus)?

Les chercheurs ont également déclaré qu'ils avaient averti le plus grand nombre possible de FAI et de fabricants, avec un succès variable : « Certains des FAI contactés nous ont informés qu'ils avaient mis ou mettaient en place des mises à jour de micrologiciels; cependant, il nous manque encore des mises à jour de plusieurs d'entre eux, et certains ont souhaité ne pas être répertoriés sur ce site Web ». Les personnes qui ont reçu leur modem câble de leur FAI devront probablement attendre que leur fournisseur leur envoie la mise à jour, à moins que cela ne soit déjà fait.

Par ailleurs, BankInfoSecurity relaie les propos de Broadcom. La société déclare qu’elle « a apporté la correction pertinente au code de référence et cette correction a été mise à la disposition des clients en mai 2019 ».

Sur une note positive, les chercheurs ont dit ne pas avoir eu connaissance d'attaques dans la nature qui utiliseraient la vulnérabilité Cable Haunt. En effet, de telles attaques ne seraient pas simples à réaliser.