crédit photo © 3d brained - Fotolia.com
Plusieurs modèles de routeurs D-Link seraient victimes d’une backdoor. Autrement dit une « porte dérobée » qui permet à un attaquant de s’introduire sur la machine, d’en changer les paramètres pour, éventuellement, rediriger les communications à des fins d’espionnage. Une sérieuse faille de sécurité donc.
Cette faille a été découverte par Craig Heffner, expert en sécurité pour Tactical Network Solutions. Sur son blog, le spécialiste décrit la méthodologie qui lui a permis de découvrir comment accéder à l’interface du routeur sans disposer de comptes prévus à cet effet. « Si l’agent d’identification du navigateur (browser’s user agent string) est « xmlset_roodkcableoj28840ybtide » (sans les guillemets), vous pouvez accéder à l’interface web sans aucune authentification et voir/changer les paramètres de l’appareil », résume le spécialiste des systèmes sans fil et embarqués.
Les modèles DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 sont concernés par la vulnérabilité, déclare le chercheur. Ainsi que, potentiellement, les routeurs Planex BRL-04UR et BRL-04CW qui utilisent la même interface de contrôle.
Il ne s’agirait pas d’un simple bug. « J’ai trouvé plusieurs binaires qui semblent utiliser xmlsetc pour reconfigurer automatiquement les paramètres de l’appareil (exemple : DNS dynamique), explique Craig Heffner. Je suppose que les développeurs ont réalisé que certains programmes/services avaient besoin de modifier automatiquement les réglages de l’appareil; réalisant que le serveur Web avait déjà tout le code pour modifier ces paramètres, ils ont décidé de simplement envoyer des requêtes au serveur Web chaque fois qu’ils ont besoin de changer quelque chose. Le seul problème était que le serveur web a nécessité un nom d’utilisateur et mot de passe, que l’utilisateur final pouvait changer. »
Autrement dit, la backdoor aurait été installée pour des raisons pratiques de reconfiguration automatique. Le plus inquiétant est que l’affaire trainerait depuis trois ans. Dans sa note, le chercheur américain précise que la requête sur la chaîne « xmlset_roodkcableoj28840ybtide », utilisée dans la procédure d’authentification par l’interface de D-Link, pointe sur une unique page, celle du forum d’un site russe… dont les posts datent visiblement de 2010. Craig Heffner n’a peut être pas été le seul à s’intéresser à la question…
crédit photo © 3d brained – Fotolia.com
Voir aussi
Silicon.fr en direct sur les smartphones et tablettes
Silicon.fr fait peau neuve sur iOS
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…