Une vague de cyberattaques s’abat sur ces routeurs D-Link obsolètes

Une faille critique permet de prendre le contrôle à distance d’anciens routeurs D‑Link. Privés de mises à jour depuis plus de cinq ans, ils sont vulnérables aux cyberattaques. Pour éviter les risques, D-Link recommande de changer de routeur.

Il y a quelques semaines, une faille de sécurité a été découverte sur plusieurs routeurs D-Link. Considérés comme obsolètes par la marque, les routeurs n’ont plus le droit à des mises à jour de sécurité. Ils sont donc à la merci des cybercriminels et vulnérables aux attaques.

La vulnérabilité a été identifiée par les chercheurs de VulnCheck. Selon les experts en sécurité, la brèche se situe dans un outil interne du routeur, qui permet de configurer le DNS par le biais de l’interface d’administration. Cet outil néglige de vérifier les commandes envoyées. En exploitant la faille, un pirate peut donc glisser des commandes supplémentaires dans des requêtes Web qui seront exécutées par le routeur. L’opération est ouverte à un attaquant « non authentifié ».

Des routeurs privés de mises à jour depuis 2020

Au terme du processus, l’attaquant est en mesure de prendre le contrôle du routeur. Il peut alors installer un malware, incorporer le routeur dans un immense botnet, ou rediriger tout le trafic Internet qui passe par l’appareil. Plusieurs vieux modèles de routeurs DSL D‑Link (DSL‑526B, DSL‑2640B, DSL‑2740R, DSL‑2780B), considérés comme obsolètes depuis plus de cinq ans, sont touchés. Des versions bien précises du firmware sont vulnérables. De facto, tous les modèles mentionnés ne sont pas forcément en danger. 

« D-Link et VulnCheck sont tous deux confrontés à la complexité d’identifier précisément tous les modèles concernés en raison des variations dans les implémentations de firmware et les générations de produits », explique D-Link, alerté par VulnCheck, soulignant que « les analyses actuelles ne révèlent aucune méthode fiable de détection du numéro de modèle autre que l’inspection directe du firmware ».

Sur la plupart des box grand public, ce type de script d’administration n’est normalement accessible que depuis le réseau local, ce qui limite les vecteurs d’attaque. Néanmoins, la faille est exploitable si l’administration à distance a été activée ou dans le cadre d’une attaque passant par le navigateur.

La faille a d’ailleurs été débusquée à la suite d’une vague de cyberattaques sur plusieurs routeurs D-Link vulnérables. En novembre dernier, la fondation Shadowserver a constaté une tentative d’exploitation inhabituelle sur l’un de ses pièges, tendus pour prendre les pirates à la main dans le sac. Une tentative d’injection de commandes a été constatée. Pour les chercheurs, c’est le signe que la faille est bien exploitée par des hackers inconnus. On ignore s’il s’agit d’une opération d’expansion d’un botnet ou d’une autre manœuvre.

Changez de routeur D-Link

En dépit de la découverte de la faille, D-Link n’a pas l’intention de déployer des mises à jour sur ses routeurs vieillissants. La société alerte ses utilisateurs que les routeurs n’auront plus jamais droit au moindre correctif. De fait, D-Link recommande aux usagers de remplacer le matériel informatique qui n’est plus mis à jour.

« Les produits présentant ces vulnérabilités ne bénéficient plus de mises à jour ni de maintenance de sécurité. D-Link Systems, Inc. recommande de mettre hors service les anciens appareils concernés et de les remplacer par des produits compatibles qui reçoivent des mises à jour régulières du micrologiciel », déclare D-Link sur son site.

Les personnes qui souhaitent absolument conserver leur routeur sont invitées à le cantonner à des réseaux non critiques et à appliquer des restrictions de sécurité fermes. Ces précautions doivent éviter qu’une attaque ne provoque d’importants dégâts, mais le mieux reste de changer de matériel.

Les routeurs obsolètes sont de plus en plus visés par les pirates. Faute de correctifs, les hackers peuvent facilement prendre le contrôle d’un appareil en exploitant une vulnérabilité qui n’a pas encore eu droit à sa mise à jour. Le FBI recommande aux propriétaires de ce type d’appareils de les remplacer au plus vite lorsqu’ils sont déclarés en fin de vie. C’est la seule solution pour garantir la sécurité de vos appareils et de votre réseau.

__________________________________________________________________________________________________________