Clients Fibre Optique Pro Maroc Telecom, vous êtes surveillés!

Publié le 14 mars 2017 par Mcherifi

L’opérateur internet Maroc Telecom propose dans son offre Fibre Optique Pro le routeur Huawei HG8245, ce dernier est affecté par 3 failles de sécurité critiques permettant l’accès non autorisé à l’interface d’administration.

Les détails:

La version du firmware affectée V1R006C00S100 contient 2 comptes administrateurs activés par défaut et une interface d’administration exposée à Internet.

Le premier compte (backdoor) permet d’accéder à l’interface de gestion du routeur, le mot de passe du compte ne peut pas être changé, pour cette version du firmware le compte caché est:

admin:*6P0N4dm1nP4SS*

Proof of concept:

WAP(Dopra Linux) # show text /mnt/jffs2/CfgFile_Backup/V100R002C06SPC005B078.xml 
...
<X_HW_WebUserInfoInstance InstanceID="1" UserName="root" Password="admin" UserLevel="1" Enable="1"/>
<X_HW_WebUserInfoInstance InstanceID="2" UserName="admin" Password="*6P0N4dm1nP4SS*" UserLevel="0" Enable="1"/>
<SIP AuthUserName="44XXXXXXXX" AuthPassword="qpmzxjhjgi">

Un autre compte utilisateur existe par défaut et permet de se connecter au routeur via telnet:

root:admin

Solution:

Malheureusement, il n’existe pas une solution pour sécuriser complétement votre routeur, pour limiter le risque:

  • Désactiver l’accès distant à l’interface d’administration « WAN-side HTTP »
  • Désactiver l’accès au routeur via Telnet.

Limitations de la solution:
Il n’est pas possible de changer le mot de passe administrateur pour l’accès à l’interface d’administration web, ce qui rend le réseau en question exposé aux attaques locales

Si vous êtes une entreprise connectée via Fibre optique et votre routeur est un Huawei HG8245, pensez à le changer sans hésitation.
Update : Il n’est pas possible de changer le routeur car ce dernier est connecté et authentifié par un numéro de série au niveau du backbone donc le client ne peut pas bénéficier d’un autre routeur puissant ou le changer, sauf intervention de l’opérateur pour permettre à d’autres routeurs de s’identifier sur leurs réseaux.

Quel risque?

Avoir l’accès à l’interface d’administration d’un routeur permet à un attaquant de mener plusieurs attaques, par exemple surveiller et altérer le trafic passant par des protocoles non-chiffrés (HTTP,FTP,SMTP..), l’attaquant peut également utiliser votre routeur comme serveur VPN, se servir de votre bande passante et j’en passe..

Ce qui est bizarre c’est que la faille a été rendue publique depuis déjà 4ans. Il est choquant de savoir que l’opérateur historique n’apporte aucune importance à la sécurité des entreprises marocaines, il s’agit tout de même d’une faille qui expose les données sensibles de ces dernières à des attaques extérieures.

On peut se poser des questions sur la responsabilité du maCERT, le Moroccan Computer Emergency Response Team qui n’a pas pas pris la peine d’alerter l’opérateur historique, On se pose aussi des questions sur l’engagement des opérateurs quant à la sécurité des entreprises marocaines, ce n’est pas la première fois qu’on commercialise des routeurs vulnérables au Maroc.