Archives par mot-clé : d-link

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

300 000 routeurs exploités par des pirates

Cette semaine, 300 000 routeurs installés dans des foyers ou des petites et moyennes entreprises ont été piratés et utilisés pour réaliser des envois massifs de spams et de malwares. Révélée par l’entreprise Team Cymru, cette attaque particulièrement dangereuse concernerait des routeurs situés partout dans le monde, y compris dans plusieurs pays d’Europe. David Emm, chercheur senior chez Kaspersky Lab, explique que « Les petits appareils réseau qui peuvent s’installer et s’utiliser en quelques minutes, comme les routeurs, sont de plus en plus populaires. Mais cette simplicité est souvent garantit au détriment de la sécurité. La configuration par défaut est-elle pensée pour protéger l’utilisateur ? Peut-on les utiliser sans s’aventurer dans les paramètres et se sentir en sécurité ? Dans la plupart des cas, la réponse est non. Attention, il y a de forte chance que le nombre de 300.000 ne soient qu’une goûte d’eau dans la mesure ou d’autres groupes de pirates ont pu exploiter la faille sans que personne ne s’en soit aperçu.

Plusieurs éléments rendent ses appareils vulnérables (les marques D-Link, Micronet, Tenda, TP-Link, pour les plus connues, ont été la cible de l’attaque, ndr datasecuritybreach.fr) : D’abord l’utilisation d’un mot de passe faible, ou le non-renouvellement des mots de passe. Une configuration par défaut non sécurisée, qui permet aux équipes de support technique du fabricant d’accéder au réseau ; Les vulnérabilités du firmware & les erreurs dans l’implémentation des services ; Le manque de connaissance des utilisateurs et des vendeurs, l’absence de prise de conscience des risques.

À cause de tous ces éléments, les modems et routeurs sont des cibles faciles pour les cybercriminels. Contrôler un routeur permet à la fois de surveiller de façon permanente et transparente le réseau, de voler des données et de rediriger les utilisateurs vers des sites malveillants. D’autre part, ces appareils sont la solution idéale pour qui souhaite cacher un malware qui pourra par la suite infecter tous les ordinateurs connectés ou construire une réseau botnet.  Quant à la raison qui se cache derrière ces attaques, elle ne change pas : l’argent.

Pour rappel, les conséquence de l’accès non autorisé à un routeur sont : Le contrôle du trafic réseau ; La capacité d’espionner les échanges/conversations VoIP ; Le vol des clés WEP/WPA ; La possibilité de modifier la configuration, changer ou réinitialiser les mots de passe ; Exposer les réseaux internes sur le WAN ; Risque de backdoors (redirection de ports) ou encore la modification des réglages DNS (drive-by pharming).

Etes-vous victimes ?

Une fois qu’un périphérique a été compromis, les pirates modifient les paramètres DNS. Ainsi toutes les demandes passent par les serveurs qu’ils contrôlent. Cela permet aux pirates de détourner des sessions à leur guise. Il vous faut découvrir si vos paramètres DNS ont été changés. Le meilleur moyen est de vous connecter à votre appareil via l’interface d’administration et de vérifier les paramètres DNS. Les malveillants ont réorientés  les DNS vers les adresses IP 5.45.75.11 et 5.45.76.36. Donc si vous voyez ces adresses dans votre administration, vous avez un sérieux problème !

Backdoor dans le routeur Tenda

Nous vous expliquions, en octobre, comment une backdoor, une porte cachée donnant accès à l’administration d’un espace informatique, avait été découvert dans plusieurs routeurs de la marque D-Link. Début novembre, nouvelle marque chinoise dans le collimateur avec Tenda.

TTSO a découvert un accès possible et cela via un seul petit paquet UDP. Après extraction du firmware dédié à ce routeur sans fil (Tenda W302R), il a été découvert une possibilité d’écoute des informations. A la différence de D-Link, l’espionnage ne peut se faire qu’en mode réseau local, pas d’exploit à partir du WAN. Ou est donc le problème vont rapidement chantonner les plus pointilleux. L’exploit passe via le réseau mobile. Ce dernier a le WPS activé par défaut, sans aucune limitation de test de mots de passe. Autant dire que le brute forçage de la bête n’est plus qu’un détail. Cette backdoor existe dabs le Tenda W302R, mais aussi dans le Tenda W330R, ainsi que dans le Medialink MWN-WAPR150N.

Il y a un déjà, une étonnante fuite visant Tenda (un ingénieur ?) expliquait comment la porte cachée « MfgThread » fonctionnait. Bref, si vous n’invitez pas la planète sur votre réseau, que le WPS n’est pas activé et que l’utilisation d’un mot de passe digne de ce nom en WPA vous est familier, peu de risque. Il est possible aussi que cette porte cachée soit un oubli d’un codeur local, payé quelques euros, utilisée lors de la fabrication de l’outil et qui n’a pas été effacée.

Backdoor D-Link

Accéder, sans mot de passe, dans un routeur D Link, facile grâce à une backdoor. Craig, du blog Dev TTys 0, vient d’analyser le routeur DIR-100 REVA de D-Link. Son petit jeu, un reverse engineering, lui a donné l’occasion de découvrir qu’en quelques lignes de code, il était possible d’accéder aux commandes de la machine, en outre passant login et mot de passe.

Bilan, il semble qu’une porte cachée dans le firware permet à celui qui connait le truc de s’inviter dans le – précieux -. « On peut raisonnablement conclure que de nombreux dispositifs D-Link sont susceptibles d’être affectés par cette backdoor » souligne le chercheur. En bref, si votre navigateur est configuré avec comme User-Agent « xmlset_roodkcableoj28840ybtide », vous obtiendrez automatiquement un accès administrateur sur le panneau de contrôle web du routeur, sans la moindre demande d’autorisation.

Les machines concernées par cet étrange firware sont : DIR-100 ; DI-524 ; DI-524UP ; DI-604S ; DI-604UP ; DI-604 + et TM-G5240. « En outre, plusieurs routeurs Planex semblent également utiliser le même firware » termine Craig. Il s’agit de BRL-04UR et BRL-04CW. Une raison de plus pour commencer à adopter openwrt/ddwrt/tomato etc. D-Link n’a pas encore donnée ses explications sur ce sujet.