IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des routeurs domestiques de D-Link vulnérables à une injection de commande à distance ne recevront pas de correctifs
L'équipementier évoque la fin de vie des appareils

Le , par Stéphane le calme

21PARTAGES

7  0 
D-Link ne va pas corriger une vulnérabilité d’injection de commande non authentifiée dans ses routeurs qui pourrait permettre à un attaquant de prendre le contrôle à distance des périphériques et d’exécuter du code.

La vulnérabilité (CVE-2019-16920) existe dans les derniers microprogrammes des produits DIR-655, DIR-866L, DIR-652 et DHP-1565, qui sont des routeurs Wi-Fi destinés au marché domestique. Il y a quelques jours, D-Link avait expliqué aux chercheurs du FortiGuard Labs de Fortinet, qui avaient découvert le problème en septembre, que ces dispositifs étaient tous les quatre en fin de vie et n'étaient plus vendus ni pris en charge par le fournisseur (toutefois, les modèles sont toujours disponibles comme étant nouveau via des vendeurs tiers à l'instar d'Amazon).

Selon Fortinet, la cause fondamentale de la vulnérabilité est l'absence de vérification de l'intégrité des commandes arbitraires exécutées par la fonction d'exécution de commande native.

Fortinet décrit cette situation comme étant « un écueil de sécurité typique subi par de nombreux fabricants de microprogrammes ».

L'exploitation du problème commence par la fonctionnalité de connexion sur la page d'administration du routeur. La fonction de connexion est exécutée à l’aide de la fonction URI /apply_sec.cgi (elle extrait la valeur de current_user et user_username de la mémoire non volatile (NVRAM), qui est un type de RAM qui conserve les données après qu'un appareil ait été mis hors tension).

La fonction compare ensuite la valeur de l'utilisateur actuel à la valeur de la variable acStack160.


« La valeur current_user dans la NVRAM ne sera définie qu'après une connexion utilisateur réussie. Par conséquent, sa valeur n'est pas initialisée par défaut », a expliqué Thanh Nguyen Nguyen, chercheur à Fortinet, dans un billet de blog. « La valeur de acStack160 est le résultat de base64encode(user_username) et, par défaut, user_username est défini sur « user ». Il est donc impossible que l'iVar2 puisse renvoyer une valeur égale à 0, il ne va donc pas retourner une page asp d'erreur ».


Dans le code de la boucle do-while, le programme appelle la fonction put_querystring_env() pour analyser la demande HTTP POST et enregistre la valeur dans ENV. Ensuite, la fonction appelle query_vars(“action”, acStack288, 0x80)


Ceci fournit une valeur à « action », qui est enregistrée dans ENV dans acStack288. En cas de succès, la fonction renvoie la valeur 0.

Avec iVar2 égal à 0, nous arrivons à la condition « if ». Il compare la valeur de l'URI avec la chaîne «/apply_sec.cgi». Si la condition est vérifiée, ppcVar3 pointera vers le tableau SSC_SEC_OBJS, autrement, il pointera vers le tableau SSC_OBJS.


PpcVar3 pointe maintenant vers le tableau SSC_SEC_OBJS, qui est une liste de valeurs d'action. Si nous saisissons une valeur qui ne figure pas dans la liste, le programme renverra LAB_0040a458, qui générera l'erreur suivante: « No OBJS for action: <action input> »


Vous pouvez voir où la vérification d’authentification incorrecte s’effectue. Le flux de code s’exécute toujours bien que nous ne soyons pas authentifiés, ce qui signifie que nous pouvons effectuer toute action dans le tableau SSC_SEC_OBJS sous le chemin «/apply_sec.cgi». Le chercheur précise que le tableau d'actions SSC_SEC_OBJS se trouve dans le registre de la fonction init_plugin().

Pour réussir l’exploitation, « nous avons implémenté la requête HTTP POST dans "apply_sec.cgi" avec l’action ping_test », a-t-il déclaré. « Nous avons ensuite effectué une injection de commande dans ping_ipaddr. Même si elle renvoie la page de connexion, l'action ping_test est toujours effectuée - la valeur de ping_ipaddr exécutera la commande "echo 1234&#8243; sur le serveur de routeur, puis renverra le résultat à notre serveur ».

À ce stade, les attaquants pourraient récupérer le mot de passe de l'administrateur ou installer leur propre porte dérobée sur le serveur, ce qui leur permettrait d'installer des logiciels malveillants, de surveiller le trafic transitant par le routeur et, éventuellement, de migrer sur le réseau domestique pour infecter d'autres périphériques.


En l'absence de correctif, les utilisateurs concernés doivent mettre à niveau leurs appareils dès que possible.

En septembre, des chercheurs ont découvert des vulnérabilités dans les routeurs D-Link susceptibles de révéler des mots de passe des périphériques et d’affecter tous les utilisateurs des réseaux qui s'en servent. En mai, un chercheur a découvert que des pirates utilisaient la plateforme Google Cloud pour mener trois vagues distinctes d'attaques de piratage DNS contre des routeurs D-Link vulnérables et d'autres routeurs grand public.

Source : Fortinet

Et vous ?

Disposez-vous de routeurs D-Link ?
Votre dispositif fait-il partie de la liste des appareils vulnérables ?
Que pensez-vous du fait que D-Link ne veuille pas colmater cette faille en s'appuyant sur l'argument de la fin de vie des appareils ?

Voir aussi :

Une faille dans KDE permet de corrompre un ordinateur sans même ouvrir le fichier malicieux, un correctif doit être mis en place rapidement
Le correctif logiciel de Boeing pour le problème du 737 MAX submerge l'ordinateur de bord de l'avion, selon les pilotes de la FAA
La vulnérabilité BlueKeep est si sérieuse que même la NSA recommande l'application d'un patch à votre système d'exploitation Windows
Le verrouillage radio de l'UE rendrait impossible l'installation de logiciels alternatifs sur les smartphones, routeurs WiFi et autres dispositifs
Le marché des commutateurs Ethernet affiche une solide croissance de 4,8 % au 2T18 tandis que le marché des routeurs baisse de 2,5 %, selon IDC

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de transgohan
Expert éminent https://www.developpez.com
Le 09/10/2019 à 8:22
Renouveler ses équipements au bout de 9ans quand ils fonctionnent c'est dur...

J'ai toujours un peu de mal avec ce genre de raisonnement en travaillant dans une entreprise qui fourni des mises à jour après plus de 15ans...
Bon après je suppose que le prix bradé des produits fait qu'il est difficile de garder de l'argent pour une équipe pour les correctifs...
2  0