crédit photo © 3d brained - Fotolia.com
Plusieurs modèles de routeurs D-Link seraient victimes d’une backdoor. Autrement dit une « porte dérobée » qui permet à un attaquant de s’introduire sur la machine, d’en changer les paramètres pour, éventuellement, rediriger les communications à des fins d’espionnage. Une sérieuse faille de sécurité donc.
Cette faille a été découverte par Craig Heffner, expert en sécurité pour Tactical Network Solutions. Sur son blog, le spécialiste décrit la méthodologie qui lui a permis de découvrir comment accéder à l’interface du routeur sans disposer de comptes prévus à cet effet. « Si l’agent d’identification du navigateur (browser’s user agent string) est « xmlset_roodkcableoj28840ybtide » (sans les guillemets), vous pouvez accéder à l’interface web sans aucune authentification et voir/changer les paramètres de l’appareil », résume le spécialiste des systèmes sans fil et embarqués.
Les modèles DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 sont concernés par la vulnérabilité, déclare le chercheur. Ainsi que, potentiellement, les routeurs Planex BRL-04UR et BRL-04CW qui utilisent la même interface de contrôle.
Il ne s’agirait pas d’un simple bug. « J’ai trouvé plusieurs binaires qui semblent utiliser xmlsetc pour reconfigurer automatiquement les paramètres de l’appareil (exemple : DNS dynamique), explique Craig Heffner. Je suppose que les développeurs ont réalisé que certains programmes/services avaient besoin de modifier automatiquement les réglages de l’appareil; réalisant que le serveur Web avait déjà tout le code pour modifier ces paramètres, ils ont décidé de simplement envoyer des requêtes au serveur Web chaque fois qu’ils ont besoin de changer quelque chose. Le seul problème était que le serveur web a nécessité un nom d’utilisateur et mot de passe, que l’utilisateur final pouvait changer. »
Autrement dit, la backdoor aurait été installée pour des raisons pratiques de reconfiguration automatique. Le plus inquiétant est que l’affaire trainerait depuis trois ans. Dans sa note, le chercheur américain précise que la requête sur la chaîne « xmlset_roodkcableoj28840ybtide », utilisée dans la procédure d’authentification par l’interface de D-Link, pointe sur une unique page, celle du forum d’un site russe… dont les posts datent visiblement de 2010. Craig Heffner n’a peut être pas été le seul à s’intéresser à la question…
crédit photo © 3d brained – Fotolia.com
Voir aussi
Silicon.fr en direct sur les smartphones et tablettes
Silicon.fr fait peau neuve sur iOS
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…