D-Link a publié une importante mise à jour de sécurité pour certains de ses anciens routeurs Internet. Le correctif ferme une porte dérobée dans les appareils qui pourrait permettre aux attaquants de prendre le contrôle à distance des routeurs vulnérables.

Routeur D-Link DI-524.
La mise à jour intervient environ sept semaines après que le chercheur Craig Heffner découvert et blogué sur une fonctionnalité ou un bogue intégré à au moins huit modèles différents de routeurs D-Link qui pourrait permettre à un attaquant de se connecter en tant qu’administrateur et de modifier les paramètres du routeur. Bien que les modèles de routeurs concernés soient assez anciens, il y en a presque certainement encore beaucoup en fonctionnement, car les routeurs ont tendance à être des appareils prêts à l’emploi qui sont rarement remplacés ou mis à jour à moins qu’ils ne cessent de fonctionner.
Selon Heffner, un attaquant qui identifierait un routeur vulnérable n’aurait qu’à paramétrer les paramètres de son navigateur chaîne d’agent utilisateur comme « xmlset_roodkcableoj28840ybtide », et il pourrait se connecter à l’interface d’administration du routeur sans aucune authentification. Heffer a ensuite mis à jour son article de blog avec une preuve de concept illustrant comment les attaquants pourraient également utiliser le bogue pour télécharger du code arbitraire sur les appareils vulnérables.
Le 28 novembre, D-Link publié une série de mises à jour pour régler le problème. Des mises à jour sont disponibles pour les modèles suivants :
- DI-524
- DI-524UP
- DIR-100
- DIR-120
- DI-604UP
- DI-604+
- DI-624S
- TM-G5240
On ne sait pas exactement pourquoi ou comment cette porte dérobée a trouvé son chemin dans les routeurs D-Link, mais Heffer a déclaré une suggestion d’un collègue chercheur Travis Goodspeed indique une explication probable : « Je suppose que les développeurs ont réalisé que certains programmes/services [such as dynamic DNS] devait pouvoir modifier automatiquement les paramètres de l’appareil », écrit-il. « Réalisant que le serveur Web disposait déjà de tout le code pour modifier ces paramètres, ils ont décidé de simplement envoyer des requêtes au serveur Web chaque fois qu’ils avaient besoin de modifier quelque chose. Le seul problème était que le serveur Web nécessitait un nom d’utilisateur et un mot de passe, que l’utilisateur final pouvait modifier.
La mise à jour d’un routeur Internet peut être délicate et nécessite une attention particulière. un clic errant ou le fait de ne pas suivre attentivement les instructions d’installation/de mise à jour peut transformer un routeur en un presse-papier surdimensionné en un rien de temps. Normalement, lorsqu’il s’agit de mettre à niveau le micrologiciel du routeur, j’ai tendance à éloigner les gens du micrologiciel du fabricant vers des alternatives alternatives et open source, telles que DD-WRT ou Tomate. La plupart des micrologiciels de routeur d’origine sont assez maladroits et rudimentaires (ou incluent des « fonctionnalités » non documentées comme celle discutée dans ce post); J’ai longtemps compté sur DD-WRT car il est livré avec toutes les cloches, sifflets et options que vous pourriez souhaiter dans un micrologiciel de routeur, mais il garde généralement ces fonctionnalités désactivées par défaut, sauf si vous les activez.
Malheureusement, aucun des modèles répertoriés ci-dessus ne semble être compatible avec l’un ou l’autre des micrologiciels. En outre, certains de ces routeurs sont suffisamment anciens pour ne pas prendre en charge les protocoles de cryptage sans fil les plus sécurisés, tels que WPA-2; les autres peut même exiger utilisateurs pour administrer le routeur à l’aide Internet Explorer (pas vraiment une option pour les utilisateurs de Mac).
Pour ces raisons, je suggérerais à toute personne disposant d’un routeur vulnérable d’envisager de passer à un appareil plus récent. Asus, Buffle et Linksys fabriquer de nombreux routeurs largement compatibles avec DD-WRT et Tomatemais vous voudrez peut-être vérifier leurs pages de compatibilité respectives (liées dans cette phrase) avant d’en acheter une nouvelle.
Mise à jour, 8 h 43 HE : Liste mise à jour des routeurs concernés, selon le avis officiel D-Link sur ce (H/T @William_C_Brown).