Un expert trouve une porte dérobée sur l’interface de certains routeurs D-Link

0
Un chercheur spécialisé dans la sécurité des systèmes embarqués sans fil indique avoir trouvé une porte dérobée dans un firmware utilisé dans plusieurs routeurs de la marque D-Link. De son côté, l'éditeur propose déjà certains patchs de sécurité.

00FA000006704154-photo-routeur-d-link-524up.jpg
Craig Heffner indique avoir découvert une porte dérobée dans un firmware utilisé par de nombreux utilisateurs de routeurs D-Link. Cette faille de sécurité pourrait ainsi permettre, selon l'expert, de s'introduire dans ce dispositif en obtenant un accès administrateur sur le panneau de contrôle du routeur.

Sur son blog, Craig Heffner précise que si la manipulation n'est pas à la portée de tous, elle reste tout de même utilisable. Il ajoute ainsi qu'à son avis, « les développeurs ont réalisé que des modifications automatiques des réglages de l'appareil étaient nécessaires pour certains programmes et services. Afin de pouvoir modifier ces paramètres, ils ont alors simplement décidé d'envoyer des requêtes au serveur Web chaque fois qu'ils avaient besoin de changer quelque chose ».

Il publie ainsi la liste des routeurs concernés pour D-Link puis Planex :

  • DIR-100
  • DI-524
  • DI-524UP
  • DI-604S
  • DI-604UP
  • DI-604+
  • TM-G5240
  • BRL-04UR
  • BRL-04CW

D'autres équipements pourraient également être touchés par cette vulnérabilité qui aurait été déjà découverte via un forum russe sur le hacking voilà 3 ans. Contacté par notre rédaction, D-Link précise que certains correctifs logiciels peuvent déjà être téléchargés depuis une page prévue à cet effet. La page est, pour le moment, en anglais mais une version française devrait arriver dans les prochains jours.

En outre, Thierry Doualan, chef de produit pour D-Link France rappelle qu' « hormis le DIR 100, les autres modèles sont assez anciens. La possibilité d'attaque n'est certes pas nulle mais il faut qu'un attaquant puisse déjà vous trouver ». Les risques sont donc, selon le responsable, limités.
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Shuttle KD22 : un NAS silencieux et sans fioriture
Une vidéo du Nexus 5 publiée avant l'heure par SFR ?
Terminaison d'appel : l’autorité de la concurrence demande aux européens de jouer le jeu
Rapport Lauvergeon : la France, bientôt pilier du big data ?
Insolite : la coque à trous de l'iPhone 5c détournée par un jeu mobile
Sonos Play:1 : une enceinte connectée compacte et étanche
Le Brésil planche sur sa messagerie sécurisée
Dassault Systèmes avertit sur ses résultats de fin d'année
Google Play : bientôt une refonte sur les tablettes Android
Quelles sont les alternatives à Google ?
Haut de page