Faille de sécurité dans 500.000 modems Belgacom ?

Les modems BBOX2 qu’utilisent une majorité de clients de Belgacom TV comportent des failles de sécurité importantes. Belgacom revendiquait 589.000 clients pour sa plate-forme TV l’été dernier. Une majorité d’entre eux utilise ce fameux modem. Une combinaison de facteurs ouvre la porte à des actes malveillants, pouvant être commis par des personnes sans connaissances informatiques particulières et pas seulement des ‘hackers’.

  1. Les modems BBOX2 sont tous livrés avec le même mot de passe d’administration. On peut très facilement le trouver via un moteur de recherche: http://www.google.com/search?hl=en&q=BGCVDSL2
  2. Belgacom prétend bloquer l’accès à distance de ces modems via Internet. C’est partiellement exact. Cependant, ces modems sont livrés d’origine avec une connexion WIFI active et non protégée. N’importe qui passant dans la rue peut donc se connecter à une BBOX2 non protégée.
  3. Muni de cet accès administratif, on peut télécharger le fichier de configuration du modem et décrypter les mots de passe qui s’y trouvent. Là aussi, on trouve le nécessaire sur Internet: http://www.webalice.it/zibri/Deobfuscate.html

Update 15/11/2012: Les dernières mises à jour du firmware du modem ont modifié le mot de psse par défaut. Il s’agit désormais du numéro de série de l’appareil (15 lettres ou chiffres au dos de celui-ci). Bravo à Belgacom pour avoir bouché ce trou de sécurité en seulement 4 ans. L’essentiel de ce post est donc caduque.

Après avoir récupéré les identifiants d’un abonné  à Belgacom TV (identifiants de la connexion PPPoE, pour être précis), un pirate peut utiliser ces informations pour perpétrer des actes malveillants en se faisant passer pour cet abonné.

Toutes les informations ci-dessus sont en possession de Belgacom depuis longtemps. J’ai moi-même interrogé l’opérateur, qui n’a pas daigné accuser réception, et encore moins répondu ou proposé des solutions.

Notons également que si cela s’applique aux clients de Belgacom TV, certains abonnés Internet, chez Belgacom comme chez les opérateurs alternatifs qui utilisent le réseau VDSL2 de Belgacom sont également concernés. Le propriétaire du réseau impose en effet aux autres FAI l’utilisation d’un modem semblable au sien, également pourvu d’un mot de passe identique pour tous les abonnés.

Quelques détails additionnels pour les intéressés. Pour l’illustration, nous utilisons ici l’interface graphique du modem. Cependant, cette technique fonctionne également via une interface en mode textuel (telnet), qui permettrait à des pirates plus organisés de récupérer automatiquement ces données, sans intervention humaine.

Mot de passe d’administration identique

Pour une raison inexpliquée, Belgacom a choisi d’utiliser le même mot de passe sur tous ses modems. Il est très vite devenu un secret de polichinelle. Qui plus est, Belgacom ne donne pas d’indication sur la manière de le modifier. Belgacom ne fournit d’ailleurs aucun manuel avec le modem.  D’autres s’en sont chargés, heureusement. Ce qu’on retiendra, c’est la nécessité d’utiliser d’obscures commandes via une interface textuelle qui est peu compréhensible par le public que cible l’opérateur.

Belgacom a également imposé aux opérateurs alternatifs qui passent par son réseau VDSL2 d’utiliser un mot de passe unique (OLOVDSL2, dans ce cas). Il est évident qu’il s’agit d’un problème majeur de sécurité.

Accès à la configuration

Suite aux menaces proférées il y a quelques par un pirate se faisant appeler Vendetta, Belgacom a décidé de bloquer l’accès à ses modems BBOX2 via l’Internet, en bloquant les accès sur les ports 80, 443 et 22. Ce faisant, Belgacom enlève également à l’abonné de gérer son modem à distance., ce qui retire pas mal de fonctionnalités. L’abonné à la possibilité de malgré tout ouvrir ces ports, Belgacom se contentant d’avertir qu’il y a un risque de sécurité, sans expliquer lequel. En tout état de cause, le remède est disproportionné par rapport au problème à traiter. Un peu comme si on confisquait les clés de voiture aux automobilistes au titre que cela diminuera leur empreinte carbone.

Les modems sont par contre très facilement accessibles via le WIFI, qui est actif et non protégé par défaut. En effet, Belgacom veut rendre la vie de ses clients Belgacom TV simple, y compris ceux qui ne sont pas férus de technologie.  En conséquence, le modem se configure de lui-même lors de la première connexion. Plus exactement, le modem est configuré à distance via le protocole TR-069. L’utilisateur n’a rien à faire de son côté, sinon enficher le câble du décodeur TV dans le modem. Le reste est automatique.

Qui plus plus est, l’abonné à Belgacom TV a souvent souscrit à une offre qui comprend aussi l’accès Internet, même s’il n’en a pas ou peu l’usage, ce qui ne l’encouragera pas à prendre les mesures nécessaires pour sécuriser son WIFI. Ainsi donc, il y a possiblement des milliers de clients de Belgacom qui ont un modem grand ouvert à tout le monde, sans le savoir. J’ai personnellement identifié près d’une dizaine de modems BBOX2 non protégés dans mes environs immédiats.

Déchiffrement des mots de passe

La BBOX2 utilise un micro-logiciel nommé OpenRG, de la société Jungo. Ce logiciel se retrouve dans de nombreux modems ADSL, et notamment la Livebox de France Télécom, également utilisée par Mobistar en Belgique.

Jungo a utilisé une technique de chiffrement que les informaticiens appellent plutôt l’obfuscation. Elle consiste à rendre la lecture plus compliquée de prime abord, mais sans introduire réellement de chiffrement. C’est une technique qui est connue depuis l’Antiquité. En l’occurrence, on procède par remplacement d’un caractère par un autre. Ainsi, une fois identifié les 26 lettres minuscules et majuscules, en plus des 10 chiffres, on peut très facilement construire un tableau de concordance et codifier le tout dans une petite routine informatique. Le site mentionné ci-dessus utilise le très répandu Javascript, mais il existe d’autres implémentations, en Python notamment (source), ce qui permettait à un pirate de facilement créer un programme de récupération automatique de ces identifiants.

La première étape est de sauvegarder la configuration du modem. Il suffit d’aller dans le menu “Admin Settings/Backup and Update”

On récupère alors un fichier texte, où l’on peut trouver les identfiants de l’utilisateur:

Dans l’exemple, ci-dessus, le mot de passe est ‘testing’, et c’est très exactement la valeur que retourne le site de déchiffrement mentionné ci-dessus.

La plupart des modems ADSL permettent de créer une copie de sauvegarde de leur configuration, bien utile en cas de panne. Cependant, les autres fabricants créent un fichier de configuration binaire, et donc illisible par un être humain. Jungo a choisi de rendre le fichier compréhensible, introduisant de la sorte une faille de sécurité, et le manque de précautions prises par Belgacom rend evidemment le problème plus grave encore.

Pour information, j’ai signalé ce problème de sécurité tant à Belgacom qu’à son fournisseur Jungo. En l’absence de réponse, je mets donc ces informations en ligne.

  1. Thanks Patrick.

    I do not use any P2P program and port 80 should not be visible on the Internet because I have never opened the remote administration on the modem and I have activated the built-in firewall blocking all incoming connections (Typical security / Inbound Policy: Reject.)

    My PC is running all MS updates, MC-Afee Internet Security, Windows firewall with almost no exception, Spy BOT Search & Destroy resident, CCCleaner, Mozilla Firefox instead of MS Ie and no P2P programs. I am not saying that it is 100% sure, but none of the installed security suites reports any spyware, virus, whatsoever.

    The remote administration of my PC is disable.

    Strong passwords are used and changed periodically. Guess account is disable. MS Baseline security checker does not report security holes.

    My WiFi is secured, WAP2 personal and MAC security in place. If somebody is getting into my modem, that means that Belgacom has security holes.

    I wonder what could I do next?

    Regards
    Miguel

  2. @Miguel

    Belgacom suggests this could be due to a spyware making repeated requests. I would also suggest to check the configuration of P2P programs you might use. Allowing an unlimited number of connections in Bittorrent, Emule, etc might also cause such behaviour. Further, if your BBOX2 is visible on the Internet through port 80, you might be hit be a whole tribe of robots trying all nasty tricks against your modem.

  3. Hello Patrick.

    I have performed the step as of the post you indicated to me. I have even done so three times to make sure. I did it this way:

    Telnet to BB2 as admin, then:

    rg_conf_set upnp/rules_autoclean/enabled 1
    save

    I received message “return 0″ on screen
    Then, I rebooted the BB

    After a couple of days the same problem comes back:

    “No more than 100 sessions at a time are allowed. Please wait until open sessions expire”

    Please note that message is shown before any attempt of log-in. Thus right after writing http://192.168.1.1 and hitting on “Enter”

    Do you have any other suggestion? Or anybody who reads me?

    Many thanks
    Best Regards
    Miguel

  4. Thanks for your kind reply. I appreciate it very much.

    You might be right and therefore I have done so, then as login was still not possible, I rebooted the device. I will check results and let you know since mentioned UI login lock was taking a while to come after a reboot.

    I never thought it could come so with the firewall ’cause I do not see a logic link. Besides, if I change the admin password (only possible on telnet) my BB2 restarts right after command “save” has been issued, but only if the ADSL wire is connected to the outlet. That sounds to me to an attempt to download the configuration file online every time the password is changed. While trying to change the password on the UI, it claims the old password is not valid, which it btw is the good one. If done on telnet, then restart as mentioned here above. Last but not less, whenever I change the Internet connection password on Belgacom Online services, the BBOX seems to be able to read it and adopted seemingly, setting any advance user up to a paranoid state of mind :-( I did that three times and I did not need to amend the credentials on the BB2. So anyone at Belgacom can have my credentials, my BB2 configuration (on plain text) and the control on the device and we all users have to stand behind with a big smile while our privacy is compromised so. This is unacceptable… Belgacom should also deliver a free of charge RC insurance to its customers or better said its victims ;-)

    What drives me crazy on this machine is that on top of being castrated on functionality and proven as so unsecured, one has to really play around to understand its “features”. How can it be possible that administration UI log-in capabilities were linked to the dynamic firewall entries. That would mean that once the firewall is active (only real security we have on this box) after some browsing & emailing, we cannot login on the UI anymore without restarting the box. I am really disappointed with this device and worse we have either to digest it or to move to another ISP. Definitely, no value for money and no respect to customers privacy.

    On the other hand, I wonder which other ISP will offer me what I need, one land line, three GSM ones with 3G data plan, digital TV and an acceptable Internet Access Service guaranteeing security and respecting privacy.

    Unfortunately, as the mass public either ignore or do not care too much, Belgacom stays on Belgian market top.

    Regards
    Miguel Ruiz

  5. Dear Patrick,

    Thanks for taking your time to write this information. It is of help for many people out there.
    To the already commented security issues, one can add that Belgacom subscriptions have a download limitation after which the customer gets ISDN speed. Taking into account that anyone can log-in into the unprotected BBOX modems, Belgacom has made the grade once again!

    I did noticed all that and since the very beginning I changed the Admin password, the Internet log-in information and activated the firewall to almost paranoid level. Additionally, I used MAC address filtering to grant WiFi connectivity, sticking to only a few&required of those addresses and deleting any temporary one from guests gear when no longer needed. I also use WAP2 and a max length paraphrase key.
    Despite all that, this is what I get every two days after a modem reboot when trying to log-in:

    “No more than 100 sessions at a time are allowed. Please wait until open sessions expire”

    I have already checked that I am running the latest available firmware. I have reconfigured several time the modem manually and I have changed the Admin&User passwords a few times. Nothing has helped very much.

    I noticed some attacks on my PC (security logs, sporadic failures on my anti-virus real time scan, firewall disconnected upon start-up for unknown reasons, firewall alerts, etc, etc. Worse, with a good modem well configured and a competent Telco-provider, our PC should be safe with just a little care on the Internet Browser and a good free anti-virus solution. A PC connected to Belgacom network seems to be in danger even behind 10 firewalls ;-)

    I do not know if this is an error or it is really what is said, but anyway smell very bad.

    Any suggestion?
    Miguel Ruiz

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>