Une porte dérobée dans de nombreux modems DSL
L’ingénieur en sécurité Eloi Vanderbeken a trouvé une faille permettant de prendre, à distance, le contrôle de certains modems routeurs DSL grand public.
Alors qu’il cherchait à accéder à l’interface d’administrateur d’un modem routeur Linksys, l’ingénieur Eloi Vanderbeken a découvert l’existence d’un port TCP ouvert, attendant des commandes, le 32764. Il a depuis confirmé la présence de cette même porte dérobée sur plusieurs autres équipements Cisco, Linksys ou encore Netgear, ouverte non seulement sur le réseau local mais aussi, pour certains appareils, sur Internet.
Eloi Vanderbeken propose un script écrit en Python permettant de tester la vulnérabilité de ses équipements réseau à une attaque qui permet, in fine, de rétablir la configuration d’usine du matériel visé et, donc, d’en prendre le contrôle avec les identifiants administrateur d’origine.
Depuis, d’autres acteurs de la communauté de la sécurité se sont saisis du sujet et certains pourraient avoir identifié un lien entre tous les équipements concernés : le sous-traitant SerComm, qui s’avère avoir fabriqué au moins certains des modèles sur lesquels Eloi Vanderbeken a pu confirmer la vulnérabilité. La porte dérobée ne semble toutefois pas présente dans tous les produits fabriqués par SerComm.