Rafael Dominguez Vega nous parle de deux injections d’un genre nouveau, ou plus exactement peu courant. En tous cas différent de ce qui a été envisagé jusqu’à présent par l’équipe de Gnu Citizen il y a quelques temps. Il s’agit de tirer profit de certaines erreurs de gestion dans les mécanismes DHCP et de découverte réseau via le SSID. L’injection DHCP fait d’ailleurs l’objet d’une publication d’exploit sur Milworm. L’attaque repose sur une réponse forgée qui, une fois le script injecté exécuté, sera capable d’initialiser les paramètres de la console d’administration de certains routeurs ADSL Sagem. Selon l’auteur, plus de 45 % des appareils visés seraient susceptibles de succomber lorsque soumis à un tel traitement.
Mais le plus intéressant reste à venir. L’étape suivante de l’aventure commence avec la lecture d’un white paper -toujours signé Rafael Dominguez Vega- publié par MWR Infosecurity. Document qui reprend et explique le principe de l’attaque par injection DHCP. Il entraîne ensuite le lecteur sur les bords d’une faille qui affectait à une certaine époque les routeurs LAN/WLAN utilisant le noyau open source DD-WRT. Ce firmware, comme pratiquement tous ses semblables, possède une fonction de « découverte de réseau wifi ». Découverte reposant sur des requêtes exploratoires dont la réponse peut être empoisonnée à l’aide d’une émission de trames « beacon » forgées. Cette injection affecte la table de voisinage réseau de la console d’administration html, et provoque un overflow exploitable. Première victime potentielle, le WRT54GL, et certaines anciennes versions de WRT54G et GS de Linksys (l’un des modèles les plus vendus, compte tenu précisément de son ouverture à des firmware open source). Précisons que la faille a fait l’objet d’un correctif, et que son exploitation exige de l’administrateur une activation de la page Web d’administration dédiée à l’exploration de l’environnement radio. Un acte très rarement effectué, si ce n’est que par quelques administrateurs curieux et autres passionnés de wardriving. Il est pourtant intéressant de noter que ce genre de menace est totalement indépendant de toute couche de chiffrement, et que l’attaque est possible quelque soit le mécanisme de sécurité mise en œuvre. Enfin, le filtrage des données à l’entrée de tous ces routeurs grand public est parfois assez sommaire, et l’on peut aisément imaginer que d’autres équipements présentent des symptômes identiques ou forts proches.