D-Link a l’intention d’eliminer un bogue de porte derobee sur ses routeurs

D-Link développe actuellement un correctif dans le but d’éliminer une vulnérabilité grave dans certains de ses routeurs plus anciens qui remplit les fonctions d’une porte dérobée. Ce bogue, découvert par un chercheur spécialisé en sécurité et dévoilé ce week-end, permet à un utilisateur distant de se connecter à un des modèles de routeur concerné en tant qu’administrateur et de réaliser les actions qu’il souhaite.

Ce genre de vulnérabilité figure parmi les plus graves, surtout quand on sait que les routeurs touchés sont destinés au grand public et qu’ils ont été certainement branchés puis ignorés pendant des années. Craig Heffner, le chercheur à l’origine de la découverte, a réalisé un travail d’ingénierie inverse d’une version du micrologiciel de D-Link et a découvert une chaîne de code intéressante. Après avoir étudié le code pendant un certain temps et enquêté sur sa fonction potentielle, Craig Heffner a découvert que si l’user agent de l’auteur d’une attaque été réglé sur une certaine chaîne, celui-ci pouvait se connecter au volet d’administration du routeur et réaliser toutes les modifications qu’il souhaitait.

šCraig Heffner a écrit dans un billet consacré au bogue sur son blogš: « En d’autres termes, si la chaîne de l’user agent de votre navigateur est “xmlset_roodkcableoj28840ybtide” (sans guillemets), vous pouvez accéder à l’interface Internet sans aucune authentification et consulter et/ou modifier les paramètres du périphérique.

La question de savoir pourquoi cette porte dérobée se trouve dans les routeurs mérite d’être posée. Par le passé, les fabricants de matériel confrontés à ce genre de situation ont indiqué qu’ils prévoyaient une fonctionnalité de ce genre pour l’assistance à distance ou en tant que mécanisme de débogage lors du développement et qu’ils oubliaient de la supprimer. Craig Heffner relaie une explication de son collègue Travis Goodspeed sur la raison possible de l’existence de la porte dérobée chez D-Link.

“Le toujours sympathique Travis Goodspeedša signaléšque cette porte dérobée était utilisée par le fichier binaire /bin/xmlsetc dans le micrologiciel D-Link.šAprès avoir appliqué la commande grep, j’ai trouvé plusieurs fichiers binaires qui semblent utiliser xmlsetc pour reconfigurer automatiquement les paramètres du périphérique (par exempleš: DNS dynamique) Mon hypothèse est que les développeurs ont estimé que certains programmes/services devaient pouvoir modifier automatiquement les paramètres de l’appareilš; après s’être rendu compte que le serveur Web possédait déjà tout le code pour modifier ces paramètres, ils ont décidé d’envoyer simplement les requêtes au serveur Web chaque fois qu’ils devaient changer quelque chose » a déclaré Craig Heffner.

Voici la liste des routeurs D-Link touchésš:

D-Link développerait un correctif pour le micrologiciel qui serait disponible à la fin du mois. D-Link fabrique un large éventail de routeurs sans fil pour les particuliers ou les petites entreprises. En attendant la version corrigée du micrologiciel, les experts en sécurité conseillent aux utilisateurs des modèles concernés de veiller à activer le protocole WPA2 sur le réseau sans fil et de privilégier les mots de passe aléatoires.

http://threatpost.com/d-link-planning-to-patch-router-backdoor-bug/102581

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *