Un chercheur en sécurité de Trustwave a découvert des vulnérabilités dans plusieurs routeurs D-Link et Comba, qui permettraient aux cybercriminels de voir facilement les noms d’utilisateur et les mots de passe stockés sur les périphériques.
Simon Kenin de Trustwave SpiderLabs a découvert un total de cinq failles de sécurité, deux dans les routeurs D-Link et trois dans plusieurs routeurs Comba Telecom, susceptibles d'affecter tous les utilisateurs et systèmes connectés au réseau. Kenin a expliqué pourquoi ces vulnérabilités sont si graves dans un article de blog détaillant ses découvertes, en ces termes:
«Un routeur contrôlé par un attaquant peut manipuler la façon dont vos utilisateurs résolvent les noms d’hôte DNS pour les diriger vers des sites Web malveillants. Un routeur contrôlé par un attaquant peut interdire l'accès au réseau et en sortir, empêchant ainsi vos utilisateurs d'accéder à des ressources importantes ou empêchant des clients d'accéder à votre site Web. "
La première vulnérabilité D-Link concerne le modem bi-bande DSL-2875AL D-Link. Ce routeur contient une vulnérabilité de divulgation de mot de passe qui permet à toute personne ayant accès à l'adresse IP de gestion basée sur le Web d'accéder aux mots de passe stockés en texte clair sans authentification. La deuxième vulnérabilité concerne également ce modèle, ainsi que le DSL-2877AL, et pourrait permettre à un attaquant d'accéder au compte du fournisseur de services Internet ou au routeur lui-même si les administrateurs réutilisaient les mêmes informations d'identification.
Trois vulnérabilités ont été découvertes dans le contrôleur d'accès Wi-Fi Comba AC2400 et le point d'accès WiFi Comba AP2600-I. Un hachage MD5 facilement inversé du mot de passe du premier routeur a été trouvé stocké dans un fichier de configuration, tandis que le second routeur contenait deux vulnérabilités: une version doublée MD5 du nom d'utilisateur et du mot de passe de l'appareil a été découverte dans le code source du login. page et une base de données utilisée pour stocker le nom d'utilisateur et le mot de passe en texte brut.
Trustwave a contacté D-Link et Comba au sujet des vulnérabilités découvertes, bien que les deux sociétés semblent réticentes à résoudre les problèmes. D-Link a reçu une prolongation de la fenêtre de divulgation de 90 jours de Trustwave après que la société a déclaré avoir besoin de plus de temps pour traiter les vulnérabilités, bien que cela ait finalement mis fin à la communication avec l'entreprise. Heureusement, D-Link a finalement publié un micrologiciel mis à jour pour les deux périphériques (DSL-2875AL, DSL-2877AL) afin de corriger les vulnérabilités.
De son côté, Comba ne répondait plus après que Trustwave ait eu plusieurs contacts et que la société n’ait pas encore résolu le problème de vulnérabilité de ses appareils.