Une vulnérabilité dans le protocole NAT-PMP met en danger 1,2 millions de routeurs

Des vulnérabilités dans les périphériques, et principalement dans les routeurs pour particuliers et bureaux à domicile, continuent d’apparaître. Un nouveau problème grave, découvert cette semaine, touche plus d’1,2 millions de périphériques de ce genre. Il s’agit d’une mise en œuvre incorrecte du protocole NAT-PMP, qui va totalement à l’encontre des spécifications selon lesquelles ce protocole a été développé.

La vulnérabilité offre à un individu malintentionné plusieurs possibilités dont une qui permet à cet individu de rediriger le trafic vers lui. Les pirates peuvent provoquer l’état de refus de service, accéder aux services client situés derrière le NAT et obtenir, dans 100 % des cas connus à ce jour, les informations relatives à la configuration du périphérique.

Jon Hart, chercheur chez Rapid7, a signalé que l’ampleur du problème avait été perçue après avoir balayé une partie de l’Internet public dans le cadre du projet Sonar, un projet en cours qui vise à analyser la sécurité des sites et des périphériques accessibles via Internet.

Le protocole NAT-PMP, ou protocole de traduction des adresses réseau avec mappage des ports, repose sur UDP, utilisé par les périphériques réseau pour permettre à des utilisateurs externes d’accéder aux services de partage de fichiers et autres services internes situés derrière le périphérique NAT. Le protocole est compatible avec toute une série de systèmes d’exploitation et jusqu’il y a peu, on le retrouvait sur certains périphériques d’Apple, y compris le point d’accès Wi-Fi d’Apple Airport. Jon Hart a déclaré que le protocole NAT-PMP est un protocole simple qui doit être correctement configuré au risque d’ouvrir la voie à un accès non autorisé.

Le balayage organisé par Hart mis en évidence 1,2 millions de périphériques vulnérables à des attaques capables de réaliser un mappage malveillant des ports dans le but de rediriger le trafic privé sur les interfaces internes et externes du périphérique NAT. RFC 6886, la spécification de NAT-PMP, indique clairement que la passerelle NAT ne doit pas être configurée pour recevoir des requêtes de mappage de port depuis des adresses IP externes. La spécification précise : « Sont uniquement acceptés les paquets obtenus sur l’interface interne avec une adresse cible qui correspond à l’adresse interne de la passerelle NAT ». Comme l’affirme Jon Hart, certains éditeurs ne respectent pas les spécifications à la lettre.

Moore, directeur de la sécurité chez Rapid7, a signalé que les attaques contre la vulnérabilité NAP-PMP sont reprises dans Metasploit depuis au moins deux ans et qu’elles sont faciles à déjouer. La seule difficulté est que le balayage n’a pas permis à Rapid7 de définir les modèles de périphériques ou au moins les marques de périphériques qui contiennent la vulnérabilité.

D’après Moore, l’interception du trafic interne est le problème le plus sérieux.

Il a déclaré au nom de Jon Hart, qui n’était pas disponible : « Un individu doté d’un outil malveillant de commande et de gestion ou d’un système similaire, pourrait transformer votre système en proxy inverse pour le trafic malveillant et placer un site malveillant sur l’adresse IP de votre routeur. Pour ce faire, il lui suffit de basculer à nouveau le mappage vers vous depuis les périphériques vulnérables. Et vu la manière dont ce protocole fonctionne, il n’est pas nécessaire de savoir où se trouve ces périphériques. Ils peuvent littéralement être répartis à travers tout l’éther ».

Jon Hart a expliqué dans un blog que le trafic destiné aux périphériques NAT-PMP sur l’interface interne est moins exposé au risque mais qu’il pourrait malgré tout être redirigé par un pirate.

Jon Hart explique que « Cette attaque peut également être organisée en obligeant le périphérique NAT-PMP à répondre au trafic pour des services qu’il n’écoute même pas et de le rediriger. Par exemple, si le périphérique NAT-PMP ne doit pas écouter le service HTTP sur l’interface externe, cette astuce peut être utilisée pour rediriger les requêtes HTTP entrantes vers une autre adresse externe en faisant comme si ce contenu HTTP d’un périphérique externe se trouvait sur le périphérique NAT-PMP ».

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *