Skip to content
Rejoignez Censys pour un atelier sur la chasse aux menaces et un Happy Hour ! | Le 17 avril au City Winery à Philadelphie - S'inscrire maintenant
Blogs

Le protocole le plus courant dont vous n'avez jamais entendu parler

Publié le 29 janvier 2019

Étonnamment, le service le plus courant que nous trouvons dans nos analyses à l'adresse Censys est le CPE WAN Management Protocol (CWMP) - un protocole dont beaucoup n'ont jamais entendu parler. CWMP, également connu sous le nom de TR-069, fonctionne sur le port TCP 7547 en utilisant HTTP comme protocole de couche d'application, ce qui permet aux fournisseurs de services Internet de configurer à distance les équipements des locaux des clients (CPE) tels que les modems câble et les routeurs domestiques. Il n'est donc pas surprenant qu'il soit largement présent dans les réseaux à large bande du monde entier. Au total, il y a plus de 20 millions d'appareils, qui ne sont pas tous des modems, mais qui se trouvent aussi dans des endroits surprenants comme des imprimantes, des caméras, et même un seul panneau solaire solitaire.

Ce n'est pas nouveau, comme le révèle cet article du SANS datant de 2016, mais ce qui est surprenant, c'est l'exposition continue de CWMP à Internet malgré ces problèmes connus. Ce à quoi nous aurions pu nous attendre, c'est à l'augmentation des niveaux de filtrage des FAI à la frontière du réseau pour le trafic CWMP.

Le CWMP étant l'un des protocoles les plus courants sur l'internet, nous avons commencé à réfléchir à la sécurité de ce protocole et aux risques qu'il présente. En outre, existe-t-il des risques réels pour le monde de l'entreprise ou s'agit-il seulement d'un problème de technologie grand public ?

Quels sont les risques de sécurité inhérents au CWMP ?

Le pouvoir administratif que confère le CWMP est la principale raison pour laquelle il représente un tel risque pour la sécurité et constitue une cible recherchée. De par sa conception, il permet au fournisseur d'accès à Internet de configurer les paramètres du réseau tels que les serveurs DNS, mais les implémentations non sécurisées peuvent permettre aux attaquants de télécharger et d'exécuter des logiciels arbitraires. Alors que le CWMP a été conçu en partant du principe que seules les connexions provenant de sources fiables seraient possibles, une mauvaise configuration à grande échelle signifie que les FAI mettent souvent par inadvertance les réseaux de leurs clients en danger. L'internet dans son ensemble est alors susceptible de subir des attaques par déni de service, des opérations de spam et d'autres tactiques similaires lorsque des logiciels d'attaque sont installés sur les réseaux des clients.

Le protocole CWMP a été utilisé dans des attaques contre des routeurs domestiques, avec l'aide du botnet Mirai et du bogue "The Misfortune Cookie". Bien que les attaques ne soient pas dues à des vulnérabilités dans le protocole CWMP lui-même, les attaquants ont pu tirer parti d'erreurs de configuration et de mise en œuvre du protocole CWMP, ainsi que d'anciennes versions obsolètes. Le protocole original utilise un service basé sur HTTP pour la gestion à distance, ce qui est à la fois vulnérable et intrinsèquement peu sûr. Malheureusement, la solution n'était pas aussi simple que de fermer le port, ce qui pourrait causer plus de problèmes, mais les utilisateurs ont été encouragés à mettre à jour leurs modems.

Que peut-on faire à propos du protocole CWMP vulnérable ?

La "solution" à ces problèmes consiste à installer des mises à jour du micrologiciel, que la plupart des fabricants de modems ont déjà diffusées. L'édition 2 de TR-069 a ajouté une "sécurité améliorée des appareils" et devrait devenir la norme par défaut pour les utilisateurs domestiques.

Bien sûr, la question qui se pose est de savoir combien de consommateurs sont conscients de ces faiblesses et redémarrent leurs modems domestiques, sans parler de l'installation de mises à jour du micrologiciel. [insérer un soupir collectif].

Trouver le CWMP avec Censys

Pour les professionnels de la sécurité, nous recommandons d'effectuer une recherche sur Internet afin de localiser le protocole CWMP et de repérer tout protocole susceptible d'être associé à votre entreprise. Il s'agit très probablement d'employés travaillant à distance et contournant votre VPN, ignorant totalement qu'ils utilisent un modem domestique vulnérable. Traquez-les et limitez l'accès aux actifs et au réseau de votre entreprise, puis enseignez à vos employés comment utiliser le VPN et que c'est le seul moyen d'accéder à leurs applications professionnelles. Si vous voulez aller encore plus loin (et supporter d'éventuels froncements de sourcils), suggérez à ces employés de redémarrer leur modem et d'installer les mises à jour.

Résultats et rapports intéressants pour les chercheurs

Nous vous suggérons de commencer par les rapports Censys sur le protocole CWMP afin d'analyser les tendances sur Internet. Voici quelques exemples :

  • Comme le CWMP utilise HTTP comme protocole de transport de la couche application, vous pouvez examiner le logiciel côté serveur. Un rapide coup d'œil à ce rapport montre que la version 2.7 du progiciel open source gSOAP domine, ce qui est particulièrement inquiétant. En juillet de cette année, Brian Krebs a publié un article sur une vulnérabilité de gSOAP quipermettait aux attaquants de "forcer un appareil vulnérable à exécuter un code malveillant, d'empêcher le propriétaire de visionner des séquences vidéo ou de faire planter le système". Il ajoute : "En gros, beaucoup de choses que vous ne voulez pas que votre système de caméra de sécurité coûteux fasse. "Ce n'est que le premier résultat, nous laissons à nos lecteurs le soin de continuer à explorer !
  • Les 25 premiers pays ayant un rapport sur le protocole CWMP
  • Les 25 premiers produits utilisant le rapport CWMP

À propos, vous avons-nous déjà parlé de nos rapports ? Le générateur de rapports peut être un outil très puissant pour ceux qui recherchent des anomalies de sécurité. Il vous permet de repérer rapidement toute anomalie (dispositifs IoT, etc.) et d'utiliser ces indices pour approfondir vos recherches à l'aide de requêtes plus précises. Pour les utiliser, cliquez sur l'onglet Rapport dans la page des résultats de recherche (voir l'image ci-dessus) après avoir lancé une requête. Le générateur de rapports est souvent un excellent point de départ pour commencer votre recherche, filtrer les hôtes inattendus notables et commencer à établir des priorités pour ce à quoi vous devez vous attaquer en premier.

D'autres conseils seront donnés ultérieurement sur les risques de sécurité potentiels et intéressants auxquels vous devez faire attention et que vous devez sécuriser de manière appropriée.

Solutions de gestion de la surface d'attaque
En savoir plus