L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Thomson SpeedTouch

annonce de vulnérabilité informatique 11977

Thomson SpeedTouch ST780 : injection de script dans la page d'administration

Synthèse de la vulnérabilité

Un attaquant peut mettre en place une redirection DNS, puis inviter la victime à consulter la page d'aide de Thomson SpeedTouch ST780, afin d'exécuter du code JavaScript dans le contexte du service web d'administration.
Produits concernés : SpeedTouch.
Gravité : 1/4.
Conséquences : accès/droits privilégié.
Provenance : serveur intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 25/09/2012.
Références : VIGILANCE-VUL-11977, waraxe-2012-SA#090.

Description de la vulnérabilité

L'interface d'administration de Thomson SpeedTouch ST780 utilise une session chiffrée SSL/TLS, ce qui empêche les attaques de type Man-in-the-Middle.

La page d'aide de l'interface d'administration inclut un script distant :
  http://downloads.thomson.net/telecom/documentation/common/STFEH/R744/RES/en/anchors.js
Cependant, comme l'url n'utilise pas https, si l'attaquant redirige "downloads.thomson.net" vers un site web illicite, le script "anchors.js" sera chargé depuis le site de l'attaquant.

Un attaquant peut donc mettre en place une redirection DNS, puis inviter la victime à consulter la page d'aide de Thomson SpeedTouch ST780, afin d'exécuter du code JavaScript dans le contexte du service web d'administration.
Bulletin Vigil@nce complet.... (Essai gratuit)

avis de vulnérabilité 11964

Technicolor Thomson TWG850-4 : contournement de l'authentification

Synthèse de la vulnérabilité

Un attaquant non authentifié peut effectuer des tâches d'administration sur le modem Technicolor Thomson TWG850-4.
Produits concernés : SpeedTouch.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : client intranet.
Confiance : source unique (2/5).
Date création : 21/09/2012.
Références : BID-55621, VIGILANCE-VUL-11964.

Description de la vulnérabilité

Le modem Technicolor Thomson TWG850-4 peut être administré via une interface web :
  http://s/goform/RgSecurity : remise à zéro du mot de passe
  http://s/goform/RgSetup : modification de la configuration
  http://s/goform/RgUrlBlock : blocage d'une url
  etc.

Cependant, l'accès à ces pages peut se faire directement, sans passer par la phase d'authentification.

Un attaquant non authentifié peut donc effectuer des tâches d'administration sur le modem Technicolor Thomson TWG850-4.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2011-4499 CVE-2011-4500 CVE-2011-4501

Technicolor SpeedTouch : scan de port interne via UPnP

Synthèse de la vulnérabilité

Un attaquant situé sur internet peut employer la fonctionnalité UPnP du modem Technicolor SpeedTouch, afin d'altérer sa configuration.
Produits concernés : SpeedTouch.
Gravité : 2/4.
Conséquences : transit de données.
Provenance : client internet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 25/11/2011.
Références : BID-50810, CVE-2011-4499, CVE-2011-4500, CVE-2011-4501, CVE-2011-4502, CVE-2011-4503, CVE-2011-4504, CVE-2011-4505, CVE-2011-4506, VIGILANCE-VUL-11181, VU#357851.

Description de la vulnérabilité

La technologie UPnP (Universal Plug and Play) permet de configurer automatiquement un périphérique, sans authentification.

Les modems Technicolor SpeedTouch utilisent UPnP IGD (Internet Gateway Device), ce qui permet à un ordinateur sur le LAN de configurer par exemple :
 - AddPortMapping : ajout de port à translater
 - DeletePortMapping : effacement de port
 - etc.

Cependant, certains modems acceptent les requêtes UPnP IGD provenant de l'interface WAN (internet).

Un attaquant situé sur internet peut donc employer la fonctionnalité UPnP du modem Technicolor SpeedTouch, afin d'altérer sa configuration. Il peut ainsi par exemple scanner le réseau interne.
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité 7780

Speedtouch : prédictibilité des clés WPA

Synthèse de la vulnérabilité

Un attaquant peut utiliser le SSID pour prédire la clé WPA par défaut.
Produits concernés : SpeedTouch.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : liaison radio.
Confiance : source unique (2/5).
Date création : 23/04/2008.
Références : BID-28893, VIGILANCE-VUL-7780.

Description de la vulnérabilité

Les routeurs Thomson Speedtouch sont livrés avec une clé WPA dépendant du numéro de série du boîtier.

L'algorithme permettant de générer cette clé a été publié. Si le numéro de série est "CP0615JT109 (53)" :
 - la valeur CP0615109 est retenue
 - les trois derniers caractères sont convertis en hexadécimal : CP0615313039
 - un haché SHA-1 est appliqué sur CP0615313039 pour obtenir 742da831d2b657fa53d347301ec610e1ebf8a3d0
 - les six derniers caractères sont utilisés dans le SSID : SpeedTouchF8A3D0
 - les huit premiers caractères sont utilisés comme clé WPA : 742DA831D2

A partir de l'ensemble des numéros de série possibles, l'attaquant établit une corrélation entre le SSID et la clé WPA. Par exemple, au SSID SpeedTouchF8A3D0 correspond uniquement deux clés.

Un attaquant peut donc deviner la clé WPA pour accéder aux données de la victime.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 7336

Thomson SpeedTouch : multiples vulnérabilités

Synthèse de la vulnérabilité

Plusieurs vulnérabilités de Thomson SpeedTouch permettent à un attaquant de mener des attaques de type Cross Site Scripting ou d'élever ses privilèges.
Produits concernés : SpeedTouch.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits client.
Provenance : compte utilisateur.
Confiance : source unique (2/5).
Date création : 12/11/2007.
Références : BID-25972, BID-26808, VIGILANCE-VUL-7336.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Thomson SpeedTouch.

Le modem ne gère pas les attaques CSRF. [grav:2/4]

Un attaquant peut mener plusieurs attaques de type Cross Site Scripting. [grav:2/4]

Un attaquant peut employer un double slash ("//") afin de contourner l'authentification. [grav:2/4]

Un attaquant peut accéder aux fonctionnalités avancées sans saisir de mot de passe. [grav:2/4]

Un attaquant peut accéder aux fonctionnalités sauvegardées. [grav:2/4]
Bulletin Vigil@nce complet.... (Essai gratuit)

vulnérabilité informatique CVE-2006-0947

SpeedTouch : Cross Site Scripting

Synthèse de la vulnérabilité

Le paramètre "name" de la page LocalNetwork peut être utilisé pour mener une attaque de type Cross Site Scripting.
Produits concernés : SpeedTouch.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 28/02/2006.
Références : BID-16839, CVE-2006-0947, VIGILANCE-VUL-5655.

Description de la vulnérabilité

Le modem SpeedTouch dispose d'une interface d'administration web.

La page de l'interface réseau locale (LocalNetwork) utilise un paramètre "name". Ce paramètre est réaffiché sans être préalablement purgé.

Un attaquant peut donc créer une url illicite et inviter l'utilisateur à se connecter sur l'interface d'administration. Le code JavaScript contenu dans le lien cliqué sera alors exécuté dans le contexte du modem.

Cette vulnérabilité permet ainsi à l'attaquant d'effectuer des opérations d'administrations, lorsque l'utilisateur clique sur le lien.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité informatique 4518

Corruption du cache DNS du modem

Synthèse de la vulnérabilité

Un attaquant du réseau local peut envoyer une requête DHCP afin d'ajouter une entrée dans le cache DNS.
Produits concernés : SpeedTouch.
Gravité : 1/4.
Conséquences : création/modification de données.
Provenance : LAN.
Confiance : source unique (2/5).
Date création : 15/11/2004.
Références : BID-11664, V6-SPEEDTOUCHDHCPDNS, VIGILANCE-VUL-4518.

Description de la vulnérabilité

Le modem Speed Touch Pro dispose d'un serveur DNS et d'un serveur DHCP.

Lorsque le serveur DNS reçoit une requête de mise à jour dynamique, dont le nom de machine est déjà dans le cache, il la refuse.

Cependant, si le serveur DHCP reçoit une requête dont le nom de machine est déjà employé, il l'accepte. Le serveur DHCP possède alors deux entrées : l'entrée valide et l'entrée dont l'adresse IP est usurpée.

Comme le serveur DNS se met ensuite à jour à partir des données du serveur DHCP, le serveur DNS est alors automatiquement corrompu.

Pour mettre en oeuvre cette attaque, l'attaquant doit la mener avant la mise en place d'entrées DNS statiques, ou inciter l'administrateur à purger le cache. En effet, le serveur DNS ne retourne toujours que la première entrée.

Cette vulnérabilité permet donc à un attaquant interne d'usurper l'une des machines du réseau.
Bulletin Vigil@nce complet.... (Essai gratuit)

bulletin de vulnérabilité CVE-2004-0834

Attaque par format du driver GPL

Synthèse de la vulnérabilité

Le driver GPL du modem SpeedTouch est sensible à une attaque par format.
Produits concernés : Mandriva Linux, SpeedTouch.
Gravité : 2/4.
Conséquences : accès/droits utilisateur, déni de service du service.
Provenance : client intranet.
Confiance : confirmé par l'éditeur (5/5).
Date création : 01/10/2004.
Date révision : 12/11/2004.
Références : BID-11496, CVE-2004-0834, MDKSA-2004:130, V6-SPEEDTOUCHDRIVERFMT, VIGILANCE-VUL-4423.

Description de la vulnérabilité

Le modem SpeedTouch est fourni avec des drivers Alcatel/Thomson. Une implémentation GPL (logiciel libre) de ce driver est aussi disponible indépendamment.

La fonction syslog() journalise les évènements du système. Son prototype est le suivant :
  void syslog(int priority, char *format, ...);

Cependant, cette fonction est appelée sans paramètre de formatage par modem_run, pppoa2 et pppoa3.

Un attaquant peut alors utiliser des données illicites dans le but de provoquer une attaque par format dans le driver GPL. Elle permet de mener un déni de service ou de faire exécuter du code sur la machine.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité CVE-2004-0641

Prédictibilité des ISN TCP

Synthèse de la vulnérabilité

Un attaquant peut prédire les numéros initiaux de séquence TCP afin d'usurper des sessions.
Produits concernés : SpeedTouch.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client intranet.
Confiance : confirmé par un tiers de confiance (4/5).
Date création : 06/08/2004.
Références : BID-10881, CVE-2004-0641, V6-SPEEDTOUCHTCPISN, VIGILANCE-VUL-4321.

Description de la vulnérabilité

Le protocole TCP s'initie par un handshake caractérisé par deux numéros de séquence initiaux :
 - le client envoie un SYN avec un seqnum choisi
 - le serveur acquitte le seqnum du client et choisit un seqnum
 - le client acquitte le seqnum du serveur

Dans le cas où le numéro de séquence du serveur serait prédictible, un attaquant pourrait usurper une session TCP en aveugle, c'est à dire sans avoir le retour de ses paquets.

Le numéro de séquence sur les modems SpeedTouch s'incrémente de 64000 tous les dixièmes de seconde. Un attaquant peut donc les prédire.

Cette vulnérabilité permet à un attaquant distant d'usurper une session TCP, et ainsi contourner la politique de sécurité mise en place.
Bulletin Vigil@nce complet.... (Essai gratuit)

alerte de vulnérabilité informatique 4286

Vulnérabilité de DHCP sur Speed Touch

Synthèse de la vulnérabilité

Le serveur DHCP du modem Alcatel Speed Touch comporte une vulnérabilité.
Produits concernés : SpeedTouch.
Gravité : 1/4.
Conséquences : conséquence inconnue, accès/droits administrateur, accès/droits privilégié, accès/droits utilisateur, accès/droits client, lecture de données, création/modification de données, effacement de données, transit de données, déni de service du serveur, déni de service du service, déni de service du client, camouflage.
Provenance : client intranet.
Confiance : source unique (2/5).
Date création : 19/07/2004.
Références : V6-SPEEDTOUCHDHCP, VIGILANCE-VUL-4286.

Description de la vulnérabilité

Le serveur DHCP du modem Alcatel Speed Touch assigne automatiquement une adresse IP aux utilisateurs du réseau interne.

Une vulnérabilité a été annoncée dans cette implémentation de DHCP. Ses détails techniques ainsi que ses conséquences ne sont pas actuellement connus.
Bulletin Vigil@nce complet.... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.