Une équipe de chercheurs du centre de recherche sur la cybersécurité (CyRC) de Synopsys à Oulu, en Finlande, a découvert une vulnérabilité de contournement de l’authentification partielle dans plusieurs chipsets de routeur sans fil de Mediatek, Qualcomm (Atheros), Zyxel et Realtek.
La vulnérabilité, répertoriée comme CVE-2019-18989, CVE-2019-18990 et CVE-2019-18991, affecte le chipset MT7620N de Mediatek, les chipsets AR9132, AR9283 et AR9285 de Qualcomm et les chipsets RTL8812AR, RTL8196D, RTL8881AN et RTL8192ER de Realtek. Cependant, Synopsys n’a pas pu identifier une liste complète des périphériques et chipsets vulnérables car de nombreux routeurs sans fil sont affectés par cette vulnérabilité.
Dans le cadre de son processus de divulgation, Synopsys s’est engagé avec tous les fabricants des appareils testés. Après avoir contacté chaque fabricant, la société n’a reçu qu’une réponse de Zyxel, bien que Mediatek ait informé D-Link de l’affaire au cours du processus de divulgation. Zyxel et D-Link ont tous deux confirmé qu’ils disposaient de correctifs prêts à résoudre le problème et qu’ils seront mis à la disposition de leurs clients concernés.
Sommaire
Vulnérabilité de contournement d’authentification
Selon un nouveau billet de blog de Synopsys, la vulnérabilité permet à un attaquant d’injecter des paquets dans un réseau protégé par WPA2 sans connaître la clé pré-partagée.
Lors de l’injection, ces paquets sont acheminés à travers le réseau de la même manière que les paquets valides le sont et les réponses aux paquets injectés retournent cryptées. Cependant, comme un attaquant exploitant cette vulnérabilité peut contrôler ce qui est envoyé à travers le réseau, il pourrait éventuellement déterminer si les paquets injectés ont réussi à atteindre un système actif.
En guise de preuve de concept, les chercheurs de Synopsy ont pu ouvrir un port UDP dans le NAT d’un routeur en injectant des paquets UDP dans un réseau vulnérable protégé par WPA2. Les paquets ont pu être acheminés via l’Internet public avant d’être finalement reçus par un hôte contrôlé par un attaquant écoutant sur un port UDP défini. À la réception de cette réponse, l’hôte contrôlé par l’attaquant peut ensuite utiliser ce port UDP ouvert pour communiquer de nouveau avec le réseau vulnérable.
Alors que les fabricants de points d’accès dont les appareils incluent le chipset identifié peuvent demander des correctifs à Mediatek et Realtek, les utilisateurs finaux avec des points d’accès vulnérables sont fortement encouragés à mettre à niveau leurs appareils dès que possible ou à remplacer les points d’accès vulnérables par un autre point d’accès.
