Une vulnérabilité précédemment non divulguée a été découverte dans les routeurs VPN de D-Link, ce qui pourrait permettre à un attaquant de prendre le contrôle total des périphériques affectés.
L’équipe de recherche sur la vulnérabilité (VRT) de la société de gestion des menaces Digital Defence a découvert une faille d’injection de commande racine dans les routeurs VPN DSR-150, DSR-250, DSR-250, DSR-500 et DSR-1000AC de D-Link.
Les appareils exécutant les versions 3.14 et 3.17 du micrologiciel sont vulnérables aux attaques potentielles, ce qui est aggravé par le fait que les routeurs VPN de D-Link sont couramment disponibles sur de nombreux sites de commerce électronique populaires tels que Amazon Best Buy, Office Depot et Walmart.
Comme de plus en plus d’employés travaillent à domicile pendant la pandémie, certains pourraient se connecter aux réseaux d’entreprise à l’aide de l’un des appareils concernés, ce qui pourrait également mettre les entreprises en danger.
Sommaire
Défaut d’injection de commande
Le composant vulnérable des routeurs VPN de D-Link est accessible sans authentification depuis les interfaces WAN et LAN et la faille pourrait même être exploitée sur Internet.
De plus, un attaquant distant non authentifié ayant accès à l’interface Web du routeur pourrait exécuter des commandes arbitraires en tant que root, ce qui leur donnerait effectivement un contrôle complet du routeur. Avec cet accès, un attaquant pourrait intercepter ou modifier le trafic, provoquer des conditions de déni de service et lancer de nouvelles attaques sur d’autres actifs, car les routeurs D-Link peuvent se connecter simultanément à jusqu’à 15 appareils.
Le vice-président directeur de l’ingénierie chez Digital Defense, Mike Cotton, a expliqué comment l’entreprise avait divulgué de manière responsable la vulnérabilité de D-Link dans un communiqué de presse, en disant:
«Notre pratique standard est de travailler en tandem avec les organisations sur un effort de divulgation coordonné afin de faciliter une résolution rapide d’une vulnérabilité. Le VRT de défense numérique a contacté D-Link qui a travaillé avec diligence sur un correctif. Nous continuerons de sensibiliser les clients en nous assurant qu’ils sont conscients et capables de prendre des mesures pour atténuer tout risque potentiel introduit par la vulnérabilité. »
D-Link a maintenant corrigé la faille et publié un micrologiciel mis à jour pour tous les routeurs affectés. Les utilisateurs peuvent consulter l’avis de la société sur le problème pour plus d’informations et il est fortement recommandé de télécharger et d’installer le micrologiciel mis à jour pour leur appareil.
- Consultez également notre liste complète des meilleurs services VPN
