Une vulnérabilité zero-day trouvée dans le routeur SR20 de TP-Link

Un expert en sécurité a révélé une vulnérabilité «zero day» dans le routeur pour maison connectée SR20 de TP-Link, qui permet l’exécution de code avec les privilèges les plus élevés sur l’appareil. Les détails du bug et le code d’exploit sont actuellement disponibles aux pirates qui pourraient le modifier pour exécuter les commandes de leur choix avec les droits administrateur.

Le SR20 a été présenté au public il y a trois ans, au Consumer Electronics Show de Las Vegas. Mis en avant comme un routeur domestique intelligent, l’appareil prend en charge les objets connectés tiers, afin de servir de concentrateur domotique qui unifie le réseau d’objets connectés de la maison . À l’aide de son écran tactile ou de l’application Kasa Smart, les utilisateurs peuvent contrôler les appareils qui se connectent au SR20.

Matthew Garrett, développeur en sécurité chez Google, a découvert que le protocole TDDP (Protocole de débogage d’appareil de TP-Link) pouvait être utilisé pour exécuter des commandes à partir d’un périphérique sans demander d’authentification. Les détails techniques expliquent qu’un pirate peut exploiter cette vulnérabilité en envoyant au routeur une requête contenant un nom de fichier et un argument séparé par un point-virgule.

La méthode fonctionne tant que la machine contrôlée par l’attaquant communique avec le routeur SR20 cible via une connexion locale. Cette limitation est imposée par les règles de pare-feu par défaut, qui bloquent les accès extérieurs au réseau local. Il existe toutefois des moyens de surmonter cette restriction en incitant un utilisateur à télécharger un fichier malveillant.

Les cybercriminels vont probablement éviter de se concentrer activement sur l’exploitation de cette faille, principalement parce que de nombreux autres systèmes connectés vulnérables sont plus faciles à compromettre. Cependant, ils pourraient incorporer cette méthode dans leurs attaques, au cas où.

Le chercheur a publié ses résultats dans un fil de discussion sur Twitter après les avoir partagés avec TP-Link via le formulaire de déclaration de vulnérabilité de la société et avoir laissé passer un délai d’attente de réponse de 90 jours. Le fournisseur n’a jamais répondu, dit Garrett qui a alors publié publiquement les détails de ses recherches ainsi que le code démontrant la vulnérabilité.

Les vendeurs qui ne reconnaissent pas la vulnérabilité de leurs produits et ne s’efforcent pas de les améliorer contribuent à maintenir l’Internet des objets connectés (IoT) dans un état de non-sécurité permanent. Les enquêteurs en sécurité sont souvent obligés de divulguer les problèmes avant qu’une solution ne soit disponible en raison du silence ou du manque de coopération de la partie responsable.

Les rapports publics sur les problèmes de sécurité servent à inspirer les hackers malveillants et peuvent nuire à la réputation du fournisseur, l’obligeant à améliorer ses produits. Les utilisateurs finaux sont également informés des risques qu’ils courent et peuvent prendre des mesures pour protéger leurs équipements électroniques.

Crédit image : TP-Link