CERTA-2001-ALE-005

Vulnerability from certfr_alerte - Published: - Updated:

Les modems Alcatel sont couramment loués ou vendus dans le cadre des offres de connexion ADSL des FAIs. Ces modems possèdent un système d'exploitation aux fonctionnalités semblables aux systèmes Unix classiques. Ils offrent entre autres un certain nombre de services IP (http, telnet, ftp, tftp) permettant la mise à jour et l'administration du modem.

Une mauvaise protection de l'accès à ces services permet à un utilisateur mal intentionné de prendre le contrôle du modem depuis le réseau local désservi par le modem (LAN).

Description

4.1 Accès TFTP

Les 2 modèles sont accessibles par le protocole tftp (69/udp), sans aucune authentification, depuis le réseau LAN. Il est possible par ce biais de modifier la configuration ou le logiciel du modem. Ce risque peut s'étendre à un individu malveillant connecté via internet si il parvient à compromettre ou à utiliser comme rebond (envois de paquets sur le port echo - 7udp -,... ) une machine présente sur le LAN.

4.2 Mots de passe par défaut

Les services http et ftp, ainsi que telnet pour le seul modèle Speed Touch, sont accessibles sans aucun mot de passe par défaut. Ce défaut ne peut être corrigé sur le modèle A 1000, et doit l'être par l'utilisateur dans l'autre cas. Cependant, il arrive que le FAI prenne la précaution d'en rajouter un.

4.3 Compte d'administration expert

Malgré l'éventuelle mise en place d'un mot de passe utilisateur, il existe un compte privilégié, dénommé ``expert'' . Son mot de passe n'est pas modifiable, mais dépend uniquement de l'adresse MAC du matériel et de la version logicielle du modem via un principe de challenge/réponse. Il existe, en libre accès sur le net, un générateur de mot de passe à partir du challenge qui a démontré son efficacité pour de nombreuses configurations.

Solution

  • Pour la version Speed Touch, il est recommandé de mettre un mot de passe d'accès dès la mise en service si le fournisseur d'accès ne l'a pas fait (pour le le modèle A 1000 aucun mot de passe ne peut être imposé pour les services ftp et http, et telnet est restreint à l'utilisateur ``expert''). Cependant, les vulnérabilités sur le compte ``expert'' et l'accès tftp ne sont pas pour autant levées.
  • Restreindre l'accès aux services (tftp, telnet, ftp et http) du modem depuis le LAN à une ou quelques machines d'administration à l'aide d'un garde-barrière ou d'un routeur filtrant entre le modem et le réseau LAN.
  • Mettre en place un filtre (routeur, garde-barrière) entre l'internet et le réseau local pour éviter les rebonds (utiliser un garde-barrière ``personnel'' pour une machine unique) :
    • pas d'adresse IP source appartenant au LAN arrivant sur l'interface externe,
    • pas d'adresse IP source avec une adresse de ``broadcast'',
    • bloquer l'accès au port udp echo (7/udp) vers le réseau interne.

Il a été établi que les modems ADSL suivants sont concernés :

  • Alcatel Speed TouchTM Home
  • Alcatel A 1000
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eIl a \u00e9t\u00e9 \u00e9tabli que les modems ADSL suivants sont concern\u00e9s  :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eAlcatel Speed TouchTM Home\u003c/LI\u003e    \u003cLI\u003eAlcatel A 1000\u003c/LI\u003e  \u003c/UL\u003e",
  "closed_at": "2001-04-11",
  "content": "## Description\n\n## 4.1 Acc\u00e8s TFTP\n\nLes 2 mod\u00e8les sont accessibles par le protocole tftp (69/udp), sans\naucune authentification, depuis le r\u00e9seau LAN. Il est possible par ce\nbiais de modifier la configuration ou le logiciel du modem. Ce risque\npeut s\u0027\u00e9tendre \u00e0 un individu malveillant connect\u00e9 via internet si il\nparvient \u00e0 compromettre ou \u00e0 utiliser comme rebond (envois de paquets\nsur le port echo - 7udp -,... ) une machine pr\u00e9sente sur le LAN.\n\n## 4.2 Mots de passe par d\u00e9faut\n\nLes services http et ftp, ainsi que telnet pour le seul mod\u00e8le Speed\nTouch, sont accessibles sans aucun mot de passe par d\u00e9faut. Ce d\u00e9faut ne\npeut \u00eatre corrig\u00e9 sur le mod\u00e8le A 1000, et doit l\u0027\u00eatre par l\u0027utilisateur\ndans l\u0027autre cas. Cependant, il arrive que le FAI prenne la pr\u00e9caution\nd\u0027en rajouter un.\n\n## 4.3 Compte d\u0027administration expert\n\nMalgr\u00e9 l\u0027\u00e9ventuelle mise en place d\u0027un mot de passe utilisateur, il\nexiste un compte privil\u00e9gi\u00e9, d\u00e9nomm\u00e9 \\`\\`expert\u0027\u0027 . Son mot de passe\nn\u0027est pas modifiable, mais d\u00e9pend uniquement de l\u0027adresse MAC du\nmat\u00e9riel et de la version logicielle du modem via un principe de\nchallenge/r\u00e9ponse. Il existe, en libre acc\u00e8s sur le net, un g\u00e9n\u00e9rateur\nde mot de passe \u00e0 partir du challenge qui a d\u00e9montr\u00e9 son efficacit\u00e9 pour\nde nombreuses configurations.\n\n## Solution\n\n-   Pour la version Speed Touch, il est recommand\u00e9 de mettre un mot de\n    passe d\u0027acc\u00e8s d\u00e8s la mise en service si le fournisseur d\u0027acc\u00e8s ne\n    l\u0027a pas fait (pour le le mod\u00e8le A 1000 aucun mot de passe ne peut\n    \u00eatre impos\u00e9 pour les services ftp et http, et telnet est restreint \u00e0\n    l\u0027utilisateur \\`\\`expert\u0027\u0027). Cependant, les vuln\u00e9rabilit\u00e9s sur le\n    compte \\`\\`expert\u0027\u0027 et l\u0027acc\u00e8s tftp ne sont pas pour autant lev\u00e9es.\n-   Restreindre l\u0027acc\u00e8s aux services (tftp, telnet, ftp et http) du\n    modem depuis le LAN \u00e0 une ou quelques machines d\u0027administration \u00e0\n    l\u0027aide d\u0027un garde-barri\u00e8re ou d\u0027un routeur filtrant entre le modem\n    et le r\u00e9seau LAN.\n-   Mettre en place un filtre (routeur, garde-barri\u00e8re) entre l\u0027internet\n    et le r\u00e9seau local pour \u00e9viter les rebonds (utiliser un\n    garde-barri\u00e8re \\`\\`personnel\u0027\u0027 pour une machine unique) :\n    -   pas d\u0027adresse IP source appartenant au LAN arrivant sur\n        l\u0027interface externe,\n    -   pas d\u0027adresse IP source avec une adresse de \\`\\`broadcast\u0027\u0027,\n    -   bloquer l\u0027acc\u00e8s au port udp echo (7/udp) vers le r\u00e9seau interne.\n",
  "cves": [],
  "links": [
    {
      "title": "Communiqu\u00e9 d\u0027Alcatel :",
      "url": "http://www.alcatel.com/consumer/dsl/security.htm"
    },
    {
      "title": "Avis du CERT/CC :",
      "url": "http://www.cert.org/advisories/CA-2001-08.html"
    }
  ],
  "reference": "CERTA-2001-ALE-005",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-04-11T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Modification et acc\u00e8s \u00e0 la configuration courante (y compris les mots de passe)"
    },
    {
      "description": "Destruction ou implantation de code malicieux dans le logiciel du modem"
    },
    {
      "description": "D\u00e9ni de service, avec un \u00e9ventuel retour constructeur n\u00e9cessaire"
    }
  ],
  "summary": "Les modems Alcatel sont couramment lou\u00e9s ou vendus dans le cadre des\noffres de connexion ADSL des FAIs. Ces modems poss\u00e8dent un syst\u00e8me\nd\u0027exploitation aux fonctionnalit\u00e9s semblables aux syst\u00e8mes Unix\nclassiques. Ils offrent entre autres un certain nombre de services IP\n(http, telnet, ftp, tftp) permettant la mise \u00e0 jour et l\u0027administration\ndu modem.\n\nUne mauvaise protection de l\u0027acc\u00e8s \u00e0 ces services permet \u00e0 un\nutilisateur mal intentionn\u00e9 de prendre le contr\u00f4le du modem depuis le\nr\u00e9seau local d\u00e9sservi par le modem (LAN).\n",
  "title": "Vuln\u00e9rabilit\u00e9s dans les modems ADSL d\u0027Alcatel",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "Avis du San Diego Supercomputer Center",
      "url": "http://security.sdsc.edu/self-help/alcatel"
    },
    {
      "published_at": null,
      "title": "Avis CA-2001-08 du CERT/CC",
      "url": null
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.