D-Link avertit que quatre défauts d’exécution de code à distance (RCE) affectant toutes les versions matérielles et micrologicielles de son routeur DIR-846W ne seront pas corrigés car les produits ne sont plus pris en charge.
Les quatre failles RCE, dont trois sont classées critiques et ne nécessitent pas d’authentification, ont été découvertes par le chercheur en sécurité yali-1002, qui a publié un minimum de détails dans son référentiel GitHub.
Le chercheur a publié les informations le 27 août 2024, mais a retenu la publication des exploits de preuve de concept (PoC) pour l’instant.
Les défauts sont résumés comme suit:
- CVE-2024-41622: Vulnérabilité d’exécution de commandes à distance (RCE) via le paramètre tomography_ping_address dans l’interface /HNAP1/. (Score CVSS v3: 9,8 « critique »)
- CVE-2024-44340: Vulnérabilité RCE via les paramètres smartqos_express_devices et smart qos_normal_devices dans SetSmartQoSSettings (l’exigence d’accès authentifié réduit le score CVSS v3 à 8,8 « élevé »).
- CVE-2024-44341: Vulnérabilité RCE via le paramètre de liste lan(0)_dhcp_static, exploitable via une requête POST contrefaite. (Score CVSS v3: 9,8 « critique »)
- CVE-2024-44342: Vulnérabilité RCE via le wl (0).(0)paramètre _ssid. (Score CVSS v3: 9,8 « critique »)
Bien que D-Link ait reconnu les problèmes de sécurité et leur gravité, il a noté qu’ils relèvent de ses politiques standard de fin de vie/fin de support, ce qui signifie qu’il n’y aura pas de mises à jour de sécurité pour les résoudre.
« En règle générale, lorsque les produits atteignent EOS/EOL, ils ne peuvent plus être pris en charge et tout développement de micrologiciel pour ces produits cesse », lit-on dans l’annonce de D-Link.
« D-Link recommande vivement de retirer ce produit et avertit que toute utilisation ultérieure de ce produit peut constituer un risque pour les appareils qui y sont connectés », ajoute le fournisseur plus loin dans le bulletin.
Il est à noter que les routeurs DIR-846W ont été vendus principalement en dehors des États-Unis, de sorte que l’impact des défauts devrait être minime aux États-Unis, mais toujours significatif à l’échelle mondiale. Le modèle est encore vendu sur certains marchés, y compris en Amérique latine.
Bien que DIR-846 ait atteint la fin de la prise en charge en 2020, il y a plus de quatre ans, de nombreuses personnes ne remplacent leurs routeurs qu’une fois confrontées à des problèmes matériels ou à des limitations pratiques, de sorte que de nombreuses personnes peuvent toujours utiliser les appareils.
D-Link recommande aux personnes qui utilisent encore le DIR-846 de le retirer immédiatement et de le remplacer par un modèle actuellement pris en charge.
Si cela est impossible, le fournisseur de matériel recommande aux utilisateurs de s’assurer que l’appareil exécute le dernier micrologiciel, d’utiliser des mots de passe forts pour le portail d’administration Web et d’activer le cryptage WiFi.
Les vulnérabilités de D-Link sont couramment exploitées par les botnets malveillants, tels que Mirai et Moobot, pour recruter des appareils dans des essaims DDoS. Les auteurs de menaces ont également récemment exploité une faille de routeur D-Link DIR-859 pour voler des mots de passe et violer des appareils.
Par conséquent, il est essentiel de sécuriser les routeurs avant que des exploits de validation de principe ne soient publiés et utilisés abusivement dans des attaques.