Le routeur EXO AX4800 (DIR-X4860) de D-Link est vulnérable à l’exécution de commandes non authentifiées à distance, ce qui pourrait entraîner la prise de contrôle complète de l’appareil par des attaquants ayant accès au port HNAP.
Le routeur D-Link DIR-X4860 est un routeur Wi-Fi 6 hautes performances capable de vitesses allant jusqu’à 4800 Mbps et de fonctionnalités avancées telles que la coloration OFDMA, MU-MIMO et BSS qui améliorent l’efficacité et réduisent les interférences.
L’appareil est particulièrement populaire au Canada, et il est vendu sur le marché mondial selon le site Web de D-Link, et toujours activement soutenu par le fournisseur.
Aujourd’hui, l’équipe de chercheurs SSD Secure Disclosure a annoncé avoir découvert des failles dans les périphériques DIR-X4860 exécutant la dernière version du micrologiciel, DIRX4860A1_FWV1.04B03, qui permet l’exécution de commandes à distance (RCE) non authentifiée.
« Les vulnérabilités de sécurité dans DIR-X4860 permettent aux attaquants distants non authentifiés qui peuvent accéder au port HNAP d’obtenir des privilèges élevés et d’exécuter des commandes en tant que root », lit-on dans la divulgation de SSD.
« En combinant un contournement d’authentification avec l’exécution de commandes, l’appareil peut être complètement compromis. »
L’accès au port HNAP (Home Network Administration Protocol) sur le routeur D-Link DIR-X4860 est relativement simple dans la plupart des cas, car il s’agit généralement de HTTP (port 80) ou HTTPS (port 443) accessible via l’interface de gestion à distance du routeur.
Processus d’exploitation
Les analystes SSD ont partagé des instructions d’exploitation étape par étape pour les problèmes qu’ils ont découverts, rendant un exploit de validation de principe (PoC) désormais accessible au public.
L’attaque commence par une demande de connexion HNAP spécialement conçue à l’interface de gestion du routeur, qui comprend un paramètre nommé « PrivateLogin » défini sur « Nom d’utilisateur » et un nom d’utilisateur de « Admin ».
Le routeur répond avec un défi, un cookie et une clé publique, et ces valeurs sont utilisées pour générer un mot de passe de connexion valide pour le compte « Admin ».
Une demande de connexion de suivi avec l’en-tête HNAP_AUTH et le mot de passe de connexion généré est envoyée à la machine cible, contournant essentiellement l’authentification.
Avec un accès authentifié, l’attaquant exploite ensuite une vulnérabilité d’injection de commande dans la fonction’ SetVirtualServerSettings ‘ via une requête spécialement conçue.
La fonction vulnérable « Définir les paramètres du serveur virtuel » traite le paramètre « Adresse IP locale » sans nettoyage approprié, permettant à la commande injectée de s’exécuter dans le contexte du système d’exploitation du routeur.
SSD dit avoir contacté D-Link à trois reprises pour partager ses conclusions avec le fabricant du routeur au cours des 30 derniers jours, mais toutes les tentatives pour les en informer ont échoué, laissant les failles actuellement non corrigées.
Breachtrace a également contacté D-Link avec une demande connexe, et nous attendons toujours un commentaire.
Jusqu’à ce qu’une mise à jour du micrologiciel de sécurité soit disponible, les utilisateurs du DIR-X4860 doivent désactiver l’interface de gestion d’accès à distance de l’appareil pour éviter toute exploitation.