Clients Fibre Optique Pro Maroc Telecom, vous êtes surveillés!

L’opérateur internet Maroc Telecom propose dans son offre Fibre Optique Pro le routeur Huawei HG8245, ce dernier est affecté par 3 failles de sécurité critiques permettant l’accès non autorisé à l’interface d’administration.

Huawei-HG8245

Les détails:

La version du firmware affectée V1R006C00S100 contient 2 comptes administrateurs activés par défaut et une interface d’administration exposée à Internet.

Le premier compte (backdoor) permet d’accéder à l’interface de gestion du routeur, le mot de passe du compte ne peut pas être changé, pour cette version du firmware le compte caché est:

admin:*6P0N4dm1nP4SS*

Proof of concept:
[code]
WAP(Dopra Linux) # show text /mnt/jffs2/CfgFile_Backup/V100R002C06SPC005B078.xml



[/code]

Un autre compte utilisateur existe par défaut et permet de se connecter au routeur via telnet:

root:admin

Solution:

Malheureusement, il n’existe pas une solution pour sécuriser complétement votre routeur, pour limiter le risque:

  • Désactiver l’accès distant à l’interface d’administration “WAN-side HTTP”
  • Désactiver l’accès au routeur via Telnet.

Limitations de la solution:
Il n’est pas possible de changer le mot de passe administrateur pour l’accès à l’interface d’administration web, ce qui rend le réseau en question exposé aux attaques locales

La solution :
Si vous êtes une entreprise connectée via Fibre optique et votre routeur est un Huawei HG8245, pensez à le changer sans hésitation. Le client ne peut bénéficier d’un autre routeur puissant ou le changer après réclamation, une intervention de l’opérateur est nécessaire pour bénéficier du service.

Quel risque?

Avoir l’accès à l’interface d’administration d’un routeur permet à un attaquant de mener plusieurs attaques, par exemple surveiller et altérer le trafic passant par des protocoles non-chiffrés (HTTP,FTP,SMTP..), l’attaquant peut également utiliser votre routeur comme serveur VPN, se servir de votre bande passante et j’en passe..

Ce qui est bizarre c’est que la faille a été rendue publique depuis déjà 4ans. Il est choquant de savoir que l’opérateur historique n’apporte aucune importance à la sécurité des entreprises marocaines, il s’agit tout de même d’une faille qui expose les données sensibles de ces dernières à des attaques extérieures.

On peut se poser des questions sur la responsabilité du maCERT, le Moroccan Computer Emergency Response Team qui n’a pas pas pris la peine d’alerter l’opérateur historique, On se pose aussi des questions sur l’engagement des opérateurs quant à la sécurité des entreprises marocaines, ce n’est pas la première fois qu’on commercialise des routeurs vulnérables au Maroc.

Leave a Reply

Your email address will not be published. Required fields are marked *