Un backdoor a été trouvé dans le firmware de plusieurs routeurs D-Link. Il pourrait permettre à un attaquant de modifier les paramètres du périphérique dans le cadre d'une surveillance. Craig Heffner, expert en sécurité chez Tactical Network Solution, spécialisé dans les systèmes embarqués et sans fil, a découvert cette porte cachée. Il indique sur son blog que « l'interface web de certains routeurs D-Link peut être accessible si la chaîne de caractère du user agent du navigateur par « xmlset_roodkcableoj28840ybtide ». Plus fort encore, si on lit la dernière partie de cette chaîne à l'envers, on découvre cette phrase « edit by joel backdoor ».
« Mon sentiment est que les développeurs ont réalisé que certains programmes ou services sont nécessaires pour modifier automatiquement les paramètres des périphériques », explique Craig Heffner. Il ajoute que « sachant que le serveur web disposait des codes pour modifier l'équipement, les pirates ont décidé d'envoyer simplement des requêtes au serveur web à chaque fois qu'ils avaient besoin de changer quelque chose ». Le spécialiste poursuit, « le seul problème est que le serveur web demande un nom d'utilisateur et un mot de passe que l'utilisateur peut changer ». Un problème qui a été contourné par « Joel », constate l'expert en sécurité.
Avec l'accès aux paramètres d'un routeur, un pirate pourrait potentiellement orienter le trafic Internet de quelqu'un vers son propre serveur et lire le trafic de données non chiffrées. Pour trouver les modèles de routeurs D-Link vulnérables, Craig Heffner a utilisé un moteur de recherche spécial appelé Shodan, qui permet de trouver n'importe quel appareil connecté à Internet allant des réfrigérateurs aux caméras de vidéosurveillance en passant par les routeurs. Les modèles susceptibles d'être touchés de D-Link sont : DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 et probablement le DIR-615. Le firmware est aussi utilisé par les routeurs BRL-04UR et BRL-04CW de Planex. Pour conclure, Craig Heffner a récupéré un post sur un forum russe qui date de 3 ans et qui parle déjà de la chaîne de caractères du user agent modifié.
Nos confrères d'IDG NS ont essayé de contacte les responsables de D-Link pour commenter cette information, mais personne n'a répondu.
Le firmware des routeurs D-Link cache un backdoor
2
Réactions
Un expert en sécurité a découvert la présence d'un backdoor dans le firmware de plusieurs routeurs D-Link.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
2 Commentaires
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Oui je veux bien ! Mais c'est une malveillance à la base. Ce qui n'est pas précisé c'est la version de révision et la référence du firmware. Peut-être que le modèle testé a été corrigé depuis longtemps !
Signaler un abusPourquoi ne suis je pas étonné ? Mon 2542B, du même fabricant, a d'étranges problèmes en HTTPS avec une ligne Neuf dégroupée. J'ai essayé le même modèle, acheté par un tiers : rebelotte : même comportement. Dès qu'on passe en connection sécurisée, il y a perte importante de paquets... Effet Snowden ? Possible.
Signaler un abusLes lanceurs d'alerte ont clairement prévenus que la NSA avait réussi à implanter de nombreux backdoors dans les périphériques réseaux et les systèmes d'exploitation. Dans ce dernier cas notamment, il ne faut que quelques lignes pour faire un VPN vers le port 80, et bye bye la sécurité !
Bref, tant qu'on n'aura pas au minimum le code source de ces engins, tant qu'on ne pourra pas compiler le système sans binaire fermé, et tant qu'on ne pourra pas l'installer à partir d'un OS libre, parler de sécurité informatique est tout simplement un non sens.
"Nos confrères d'IDG NS ont essayé de contacte les responsables de D-Link pour commenter cette information, mais personne n'a répondu."
Vu l'énormité de la faille, visible ici par un simple désassemblage du binaire, on les comprend. Il n'ont tout simplement aucune excuse !