Pwn2Own est une compétition de hacking qui a lieu deux fois par an. Elle donne des cibles à attaquer pour lesquelles des hackers se battent dans le but de les hacker et obtenir des privilèges dessus. Les cibles peuvent être des appareils industriels, des routeurs, des imprimantes, smartphones ou même des voitures, et les cibles changent à chaque évènement.
Avec un collègue nous avons regardé le Netgear R6700v3 et ce blogpost est un rapide rappel de ce que l'on a fait. Vous pouvez lire le writeup complet en anglais ici.
[Edit 23 Août 2022]
Mon collègue et moi avont donné un talk à LeHack en 2022 à ce sujet, vous pouvez le visionner ici : https://www.youtube.com/watch?v=NQrKFeS5YUk
Pour faire simple il y avait un stack buffer overflow sur un service qui s'exécutait une fois pendant le démarrage du routeur, et une fois toutes les 2 heures. Le service téléchargeait un fichier, le parsait, et la vulnérabilité était dans le parseur. Si une entité malveillante pouvait faire un MitM sur le côté WAN (pour rediriger une URL vers la leur), elle aurait pu utiliser cette vulnérabilité pour prendre le contrôle du routeur.
Une chose amusante est que la vulnérabilité est atteignable uniquement car le logiciel utilise curl pour ses requêtes HTTP et fournit l'option -k...
D'après le manuel :
-k, --insecure
(TLS SFTP SCP) By default, every secure connection curl makes is verified to be secure before the transfer takes
place. This option makes curl skip the verification step and proceed without checking.
Le stack overflow était plutôt simple à exploiter puisqu'il n'y avait seulement un ASLR partiel, pas de PIE et pas de stack cookie. C'est assez fou qu'en 2021 de tels appareils avec si peu de mitigations soient encore vendues sur le marché à un prix assez élevé (environ 115€).
Au moment où j'écris ces lignes, je viens de réaliser qu'Amazon met même le produit en avant avec leur intitulé "compatible avec Alexa".
Bref, c'était une expérience amusante, je vous recommende de tenter votre chance à Pwn2Own !