Des vieux routeurs D-Link vulnérables à une faille critique

D-Link demande à ses clients de remplacer leurs routeurs sans fil DIR-865L après qu’une faille critique d’injection de commandes ait été récemment découverte. Cette faille pourrait permettre une attaque de déni de service.

Ces routeurs, introduits pour la première fois en 2013, sont en fin de vie et sans support depuis Février 2016. En Août 2018, D-Link a publié un patch (1.20B01 bêta) pour corriger plusieurs failles de sécurité. Les chercheurs de l’Unité 42 de Palo Alto Networks ont dévoilé publiquement six vulnérabilités supplémentaires, l’une d’entre elle est jugé comme étant critique et les cinq autres sont jugés comme étant graves.

d-link

“Les vulnérabilités ont été trouvées dans le modèle DIR-865L des routeurs D-Link, qui sont destinés à un usage domestique”, ont déclaré les chercheurs. «La tendance actuelle au télé-travail augmente la probabilité d’attaques malveillantes contre les réseaux domestiques, ce qui rend encore plus impérative la mise à jour de nos périphériques réseau.»

D-Link a également informé les clients de ce qu’ils considéraient comme des failles «présumées» découvertes par l’équipe de l’Unité 42. “Le produit a atteint sa fin de vie/fin de support (EOS), et il n’y a plus de support ou de développement étendu”, ont-ils écrit. Néanmoins, la société a distribué un patch «bêta» (v1.20B01Beta01) le 26 mai 2020.

«Les propriétaires de DIR-865L qui utilisent ce produit après la fin de support, à leurs propres risques, doivent mettre à jour manuellement la dernière version du micrologiciel. Ces versions bêta sont le résultat d’enquêtes et de compréhension du rapport et d’une enquête complète sur toute la famille de produits susceptibles d’être affectés. Le micrologiciel distribué après la fin de support est une procédure opérationnelle standard », prévient le rapport de D-Link.

Selon le rapport, le correctif D-Link ne corrige que trois failles trouvées par l’unité 42; la faille de script inter-site (CVE-2020-13786), le chiffrement inadéquat (CVE-2020-13785) et le stockage en texte clair d’informations sensibles (CVE-2020-13786).

La plus grave des failles est la vulnérabilité critique d’injection de commandes (CVE-2020-13782). «L’interface Web de ce routeur est contrôlée par le moteur principal appelé cgibin.exe. La plupart des requêtes de pages Web sont envoyées à ce contrôleur. Si une requête de scandir.sgi est faite, un acteur malveillant peut injecter du code arbitraire à exécuter sur le routeur avec des privilèges administratifs », ont écrit les chercheurs.

Ces privilèges d’administrateur peuvent être volés en utilisant une deuxième faille de haute gravité (CVE-2020-13786), détecté par l’unité 42. Cette deuxième faille, corrigée par D-Link en Mai, permet à un attaquant de voler le cookie de session active via la page Web de l’administrateur, qui sont vulnérables à une attaque cross-site request forgery, selon les chercheurs.

d-link

Le DIR-865L sans fil AC 1750 de D-Link avait précédemment été pris à part par des chercheurs indépendants lors de la convention des pirates informatiques DEF CON 2014. Les chercheurs ont mis le routeur dans un groupe de 13 routeurs Wi-Fi SOHO populaires qui sont vulnérables à une sorte d’attaque local ou à distance.

Comment protéger son vieux routeur D-Link?

Les chercheurs de l’Unité 42 recommandent de configurer les routeurs en utilisant “router tout le trafic par défaut vers HTTPS pour se défendre contre les attaques de piratage de session” et en changeant le fuseau horaire du routeur pour se défendre contre les acteurs malveillants qui “calculent” l’identifiant de session généré aléatoirement. “

Si cet article vous a plu, jetez un œil à notre article précédent.