Des routeurs D-Link victimes d’une backdoor

backdoor-sécurité-vulnérabilité

Le chercheur américain Craig Heffner a découvert comment exploiter une backdoor, visiblement non fortuite, pour prendre le contrôle de routeurs D-Link.

Plusieurs modèles de routeurs D-Link seraient victimes d’une backdoor. Autrement dit une « porte dérobée » qui permet à un attaquant de s’introduire sur la machine, d’en changer les paramètres pour, éventuellement, rediriger les communications à des fins d’espionnage. Une sérieuse faille de sécurité donc.

Cette faille a été découverte par Craig Heffner, expert en sécurité pour Tactical Network Solutions. Sur son blog, le spécialiste décrit la méthodologie qui lui a permis de découvrir comment accéder à l’interface du routeur sans disposer de comptes prévus à cet effet. « Si l’agent d’identification du navigateur (browser’s user agent string) est « xmlset_roodkcableoj28840ybtide » (sans les guillemets), vous pouvez accéder à l’interface web sans aucune authentification et voir/changer les paramètres de l’appareil », résume le spécialiste des systèmes sans fil et embarqués.

Une vulnérabilité volontaire

Les modèles DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 sont concernés par la vulnérabilité, déclare le chercheur. Ainsi que, potentiellement, les routeurs Planex BRL-04UR et BRL-04CW qui utilisent la même interface de contrôle.

Il ne s’agirait pas d’un simple bug. « J’ai trouvé plusieurs binaires qui semblent utiliser xmlsetc pour reconfigurer automatiquement les paramètres de l’appareil (exemple : DNS dynamique), explique Craig Heffner. Je suppose que les développeurs ont réalisé que certains programmes/services avaient besoin de modifier automatiquement les réglages de l’appareil; réalisant que le serveur Web avait déjà tout le code pour modifier ces paramètres, ils ont décidé de simplement envoyer des requêtes au serveur Web chaque fois qu’ils ont besoin de changer quelque chose. Le seul problème était que le serveur web a nécessité un nom d’utilisateur et mot de passe, que l’utilisateur final pouvait changer. »

Les Russes déjà intéressés

Autrement dit, la backdoor aurait été installée pour des raisons pratiques de reconfiguration automatique. Le plus inquiétant est que l’affaire trainerait depuis trois ans. Dans sa note, le chercheur américain précise que la requête sur la chaîne « xmlset_roodkcableoj28840ybtide », utilisée dans la procédure d’authentification par l’interface de D-Link, pointe sur une unique page, celle du forum d’un site russe… dont les posts datent visiblement de 2010. Craig Heffner n’a peut être pas été le seul à s’intéresser à la question…

crédit photo © 3d brained – Fotolia.com


Voir aussi
Silicon.fr en direct sur les smartphones et tablettes
Silicon.fr fait peau neuve sur iOS