Aller au contenu
Règlement du forum ×
IPTV et arnaques ×

Un faille dans les routeurs à base de ZynOS


dico12

Messages recommandés

bonjour

 

une info parue dans le site geek korben.info

 

Chers amis Algériens réjouissez-vous !

Si vous faites partie des 15,2 % de la population qui a accès à Internet, vous passez forcément par l'opérateur Algérie Telecom.

Ce qui est rigolo, c'est qu'Algérie Telecom fourni à la plupart de ses abonnés un routeur TP-LINK TD-W8951ND qui tourne avec un le firmware ZynOS de chez Zyxel.

Et alors, me direz-vous... ?

Et bien d'après le chercheur en sécurité Nassereddine Abdelli, une importante faille de sécurité est présente dans ces routeurs. En analysant l'interface admin du routeur, il a vite remarqué que la page permettant de mettre à jour le firmware du routeur était accessible sans mot de passe. Il suffit de connaitre l'adresse IP d'un abonné Algérie Télécom et d'accéder à cette URL : http://IP//rpFWUpload.html

À partir de là, il est possible d'uploader un nouveau firmware (rom) mais surtout de faire une copie de sauvegarde du firmware existant en accédant à l'URL suivante : http://IP address/rom-0

 

 

^^^^^^^Routers.png

 

Ce qui devient très amusant, c'est que cette copie de la rom contient le mot de passe administrateur du routeur et peut être récupéré en clair en passant par ce service en ligne : http://50.57.229.26/zynos.php

 

 

Routerhacked.png

 

Il suffit d'y uploader la rom récupérée et le service vous donnera les identifiants de connexion admin au routeur. À partir de là, un attaquant peut modifier vos DNS, rediriger votre trafic ou vous coller un firmware de son cru. Aussi troué que son design dis donc...

Nassereddine a pris l'exemple d'Algérie Télécom, car c'est son FAI mais ce genre de faille est présente sur bien des routeurs. Il suffit d'une petite recherche sur Shodan pour s'en convaincre. Nassereddine a d'ailleurs mis en ligne sur Github un script qui scanne le réseau à la recherche de cette faille et qui donne les identifiants admin.

Ça promet !

 

 

source: http://korben.info/un-faille-dans-les-routeurs-base-de-zynos.html

Lien vers le commentaire
Partager sur d’autres sites

Salam,

Merci pour cette info terrifiante !! Moi qui pensaient que seuls les HG520 avaient ce probleme :(

 

Il suffit d'y uploader la rom récupérée et le service vous donnera les identifiants de connexion admin au routeur. À partir de là, un attaquant peut modifier vos DNS, rediriger votre trafic ou vous coller un firmware de son cru. Aussi troué que son design dis donc...

Je pense qu'il suffit d'ajouter une regle ACL pour y remedier et interdire l'administration a distance via WAN mais aussi a toutes les machines du reseau LAN mis a part votre PC. D'ailleurs si je me rappelle bien, la version materielle 3 a fait l'objet, il y a longtemps de ca, d'une mise a jour du firmeware pour l'ajout a la configuration par defaut d'une regle ACL pour justement interdire l'administration a distance surtout que la plupart des utilisateurs ne savent pas qu'ils doivent changer les identifiants par defaut...

Modifié par Agent47
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • Messages

    • Un traité international de protection pour l'IA est en train d'être négocié. une cinquantaine de pays dont l’UE, les États-Unis et le Canada étudient un texte les " Droits de l'homme et la démocratie" sur l'IA. Il vise à garantir que les développeurs d’outils d’intelligence artificielle comme OpenAI ou Mistral respectent un minimum de droits fondamentaux et d’éthique. Il s’agit du tout premier traité international sur l’IA, élaboré par le Conseil de l’Europe (à distinguer du « Conseil », la représentation des 27 pays de l’Union européenne), une institution internationale qui comprend 46 membres et dont l’objectif est de protéger les droits humains. Si un accord a été trouvé au sein de son « comité sur l’intelligence artificielle », il doit encore être avalisé par son « comité des ministres », une étape qui devrait intervenir dans le courant du mois de mai. À la différence de la récente résolution des Nations Unies qui appelle à réguler l’intelligence artificielle, ce texte sera à terme contraignant. Mais il devra suivre un long processus pour devenir applicable : il devra être ratifié par chaque État signataire, puis être transposé dans chaque droit national. Il pourrait s’appliquer, une fois toutes ces étapes franchies, à l’Union européenne, mais aussi aux États-Unis, à l’Australie, au Canada, au Japon, au Mexique, au Costa Rica, à l’Argentine… Et à tous les pays qui le souhaitent. Son objectif « vise à aligner le développement, la conception et l’application de l’intelligence artificielle avec les principes du Conseil de l’Europe », souligne sa Secrétaire Générale, Marija Pejčinović Burić, dans un communiqué. Pour ses rédacteurs, l’intelligence artificielle, qui englobe autant les IA génératives comme ChatGPT que les IA prédictives – l’IA qui est utilisée pour faire des recommandations sur les réseaux sociaux – ne doit pas porter atteinte aux droits de l’Homme, à la démocratie et à l’État de droit. Le traité vise à combler un vide. Jusqu’à présent, les règles sont majoritairement définies par les entreprises qui développent ces IA – comme OpenAI, Google, Mistral. Et le respect des droits humains est loin d’être dans leurs priorités. « L’idée, c’est de ne pas attendre que leurs systèmes soient mis sur le marché (et accessibles au grand public, ndlr), c’est de mettre en place des règles démocratiques au plus vite et en amont », explique Katharina Zügel, Policy Manager au sein du Forum sur l’Information et la Démocratie, que 01net.com a interrogée. On trouve parmi les principes à respecter : les droits de l’homme, la démocratie, la dignité humaine, la transparence, l’égalité et la non-discrimination, le respect des règles en matière de données personnelles et de vie privée, ainsi que l’idée d’innovation sûre. Les systèmes d’intelligence artificielle ne doivent par exemple pas être utilisés pour « saper l’intégrité, l’indépendance et l’efficacité des institutions et processus démocratiques, y compris le principe de séparation des pouvoirs, le respect de l’indépendance judiciaire et l’accès à la justice ».  
    • Alors qu' il n'y a  pas de vdsl pour tous pour augmenter le débit à plus de 20 Méga, certains villages peu habités ont la fibre, situés au pied du Djurdjura sont fibrés depuis plus d'une année .
    • Bonjour, C'est quand même un OS qui date de 2016.. il est temps de passer à autre chose
×
×
  • Créer...