Principe de l'attaque
TFTP, ou Trivial
File Transfer Protocol est typiquement utilisé pour démarrer
des stations de travail sans disque ou des dispositifs de réseau
comme des routeurs. TFTP est un protocole de type UDP qui écoute
le port 69 et ne fournit qu'une sécurité très limitée.
Des pirates peuvent
localiser souvent un système via un serveur TFTP activé et cherchent
à retransmettre via ce protocole une copie du fichier /etc/passwd
vers leur système.
Si le serveur TFTP
est mal configuré, le système cible va sans problème fournir
le fichier de mots de passe passwd. Les pirates disposent dorénavant
d'une liste de noms d'utilisateurs qu'ils peuvent exploiter
à la borce brute.
Si le fichier de
mots de passe n'a pas été maqué, les pirates disposent de noms
d'utilisateurs et de mots de passe cryptés qu'ils peuvent décrypter
pour deviner les mots de passe des différents utilisateurs.
Un grand nombre
des versions les plus récentes de TFTP sont configurées par
défaut pour interdire l'accès à tout répertoire à l'exception
de /tftpboot. C'est un progrès mais les pirates peuvent toujours
faire glisser tout fichier vers le répertoire /tftp-boot.
Cette opération
peut porter sur des fichiers de configuration de routeurs particulièrement
sensibles et consiste à deviner le nom de fichier de configuration
du routeur qui est généralement de la forme <nom d'hôte du
routeur>.cfg.
Dans de nombreux
cas, l'intrus peut accéder aux mots de passe ru routeur et aux
chaînes de communauté SNMP.
Parades
Assurez-vous que
le serveur TFTP est configuré de façon à restreindre l'accès
à des répertoires spécifiques tels que /tftpboot.
Ceci empêchera vos
assaillants de parvenir à extraire des fichiers de configuration
système sensibles.
Examinez en outre
la possibilité de mettre en oeuvre des mécanismes de contrôle
d'accès de type hôte et de type réseau pour empécher tout système
non autorisé à accéder au serveur TFTP.
