L’information avait tardé à sortir officiellement. Souvenez-vous Free lançait successivement deux firmware (mises à jour), l’un pour le Freebox Player, l’autre pour le Freebox Server, estampillé 3.0.3. Ce dernier avait été ensuite retiré, puis à nouveau lancé discrètement sans en donner les détails des nouveautés/ corrections liées à cette mise à jour.
La raison était finalement parue, les développeurs de la Freebox expliquant que « la mise à jour disponible corrigeait un problème de sécurité sur l’interface Freebox OS (…) Notez qu’un hotfix a été déployé sur les Freebox afin de corriger ce problème sans que faire la mise à jour ne soit nécessaire ».
Aujourd’hui on est sait un peu plus sur ce fameux problème de sécurité grâce à ce log accessible sur Milw00rm.com, et relayé par @FreeboxV6 sur Twitter.
« Free permet à ses utilisateurs de créer des connexions VPN à la maison. Dans la version 3.0.2 quand un nouvel utilisateur est créé, la demande suivante de JSON est envoyée à http://mafreebox.free.fr/api/v3/vpn/user/. Cette demande est vulnérable (CSRF) » explique Milw00rm.com. Concrètement, la faille, jugée critique, permettait à un attaquant de créer un compteur utilisateur VPN (réseau privé virtuel) sur les Freebox Révolution et d’accéder au réseau local. On comprend mieux pourquoi les développeurs Freebox ont rapidement corrigé la faille et remercié « Dau Huy Ngoc pour sa démarche responsable ». Le potentiel de cette faille était immense.
Par ailleurs, deux failles XSS avec une faible probabilité d’exploitation avaient également été découvertes par Dau Huy Ngoc (dans Contacts et RSS). Pour exploiter ces failles XSS, l’attaquant devait inciter un Freenaute à importer son fichier .vcf malveillant (VCard) ou dans la seconde faille, contrôler l’un des flux RSS de l’abonné.
Nouvelle mise à jour des Freebox Server, avec une nouveauté qui pourra être utile pour…
Si le mariage n'est pas acté, un rapprochement se profile entre France Bleu et les…
Univers Freebox traite de l’actualité de Free et des télécoms et a toujours été un…
Si vous êtes fans de littérature ou de la dernière série Disney+, Free et la…
L'opérateur annonce avoir recruté 81 000 nouveaux abonnés fixe et 170 000 sur le mobile…
Face aux nombreuses victimes de la cyberattaque de Free, un formulaire en ligne devait être…