D-Link avertit les clients de remplacer les modèles de routeurs VPN en fin de vie après la découverte d’une vulnérabilité critique d’exécution de code à distance non authentifiée qui ne sera pas corrigée sur ces appareils.
La faille a été découverte et signalée à D-Link par le chercheur en sécurité « delsploit », mais les détails techniques n’ont pas été divulgués au public pour éviter de déclencher des tentatives d’exploitation de masse dans la nature.
La vulnérabilité, à laquelle aucun CVE n’a encore été attribué, affecte toutes les révisions matérielles et de micrologiciel de DSR-150 et DSR-150N, ainsi que DSR-250 et DSR-250N du micrologiciel 3.13 à 3.17B901C.
Ces routeurs VPN, populaires dans les bureaux à domicile et les petites entreprises, ont été vendus à l’international et ont atteint leur fin de service le 1er mai 2024.
D-Link a clairement indiqué dans l’avis qu’il ne publierait pas de mise à jour de sécurité pour les quatre modèles, recommandant aux clients de remplacer les appareils dès que possible.
« Le DSR-150 / DSR-150N / DSR-250 / DSR-250N toutes les versions matérielles et versions de micrologiciel ont été EOL / EOS au 05/01/2024. Cet exploit affecte ce routeur D-Link hérité et toutes les révisions matérielles, qui ont atteint leur fin de vie […]. Les produits qui ont atteint leur fin de vie/EOS ne reçoivent plus les mises à jour logicielles et les correctifs de sécurité de l’appareil et ne sont plus pris en charge par D-Link US. »- D-Link
Le fournisseur note également qu’un micrologiciel ouvert tiers peut exister pour ces appareils, mais il s’agit d’une pratique qui n’est pas officiellement prise en charge ou recommandée, et l’utilisation d’un tel logiciel annule toute garantie couvrant le produit.
« D-Link recommande vivement de retirer ce produit et avertit que toute utilisation ultérieure de ce produit peut présenter un risque pour les appareils qui y sont connectés », lit-on dans le bulletin.
« Si les consommateurs américains continuent d’utiliser ces appareils contre la recommandation de D-Link, veuillez vous assurer que l’appareil dispose du dernier micrologiciel connu qui peut être localisé sur l’ancien site Web. »
Les utilisateurs peuvent télécharger le micrologiciel le plus récent pour ces appareils à partir d’ici:
Il convient de noter que même l’utilisation de la dernière version du micrologiciel disponible ne protège pas l’appareil du défaut d’exécution de code à distance découvert par delsploit, et aucun correctif ne sera officiellement publié pour celui-ci.
La réponse de D-Link s’aligne sur la stratégie du fournisseur de matériel réseau de ne pas faire d’exceptions pour les périphériques en fin de vie lorsque des failles critiques sont découvertes, quel que soit le nombre de personnes qui utilisent encore ces périphériques.
« De temps en temps, D-Link décidera que certains de ses produits ont atteint la fin du support (« EOS ») / la fin de vie (“EOL”) », explique D-Link.
« D-Link peut choisir d’EOS / EOL un produit en raison de l’évolution de la technologie, des demandes du marché, des nouvelles innovations, de l’efficacité du produit basée sur les nouvelles technologies, ou le produit mûrit avec le temps et devrait être remplacé par une technologie fonctionnellement supérieure. »
Plus tôt ce mois-ci, le chercheur en sécurité « Netsecfish » a divulgué des détails sur CVE-2024-10914, une faille critique d’injection de commandes affectant des milliers de périphériques NAS EoL D-Link.
Le fournisseur a émis un avertissement mais pas de mise à jour de sécurité, et la semaine dernière, le service de surveillance des menaces Shadowserver Foundation a signalé avoir vu des tentatives d’exploitation actives.
La semaine dernière également, le chercheur en sécurité Chaio-Lin Yu (Steven Meow) et le centre informatique et de réponse de Taiwan (TWCERTCC) ont divulgué trois vulnérabilités dangereuses, CVE-2024 – 11068, CVE-2024-11067 et CVE-2024-11066, affectant le modem DSL6740C EoL D-Link.
Malgré les analyses Internet renvoyant des dizaines de milliers de terminaux exposés, D-Link a décidé de ne pas s’attaquer au risque.