Une vulnérabilité activement exploitée sur les D-Link DIR-859, il va falloir changer de routeur

Chloé Claessens
Par Chloé Claessens, Spécialiste cybersécurité.
Publié le 01 juillet 2024 à 12h13
La gamme DIR-859 des routeurs Wi-Fi D-Link est sujette à une vulnérabilité extrêmement sérieuse © issaro prakalung / Shutterstok
La gamme DIR-859 des routeurs Wi-Fi D-Link est sujette à une vulnérabilité extrêmement sérieuse © issaro prakalung / Shutterstok

Repérée par la plateforme de cybersécurité GreyNoise, la faille permet aux pirates de dérober les informations de compte des appareils touchés, parmi lesquels des mots de passe.

Documentée par les chercheurs et data analysts de GreyNoise en fin de semaine dernière, la vulnérabilité estampillée CVE-2024-0769 présente un niveau de sévérité alarmant. Atteignant un score CVSS de 9.8, elle avait déjà été signalée par le NIST (National Institute of Standards and Technology) en janvier.

Aujourd'hui, cette faille critique affecte toutes les versions du firmware intégré aux routeurs Wi-Fi D-Link DIR-859. Problème : les appareils concernés ont été déclarés obsolètes et ne reçoivent plus de mises à jour depuis octobre 2020.

Vol de mots de passe et prise du contrôle des routeurs

En marge des alertes lancées par le NIST et GreyNoise, D-Link a également publié un avis de sécurité sur son blog. On y apprend que la faille réside dans le fichier « fatlady.php » des équipements touchés et permet aux hackers de siphonner des données de sessions, de procéder à une élévation de privilèges et de prendre le contrôle total du routeur en passant par le panneau d'administration. Si l'on ne connaît pas les réelles motivations des pirates, les conséquences de telles attaques sont jugées extrêmement sérieuses.

D'un point de vue plus technique, l'exploit vise le fichier « DHCPS6.BRIDGE-1.xml », et non pas le fichier « DEVICE.ACCOUNT.xml » comme on aurait pu s'y attendre. En d'autres termes, les attaques seraient menées dans le but de cibler d'autres fichiers de configuration sensibles, divulguant des informations sur les listes de contrôle d'accès, le NAT, les paramètres du pare-feu, les comptes associés au routeur et les diagnostics. En bref, une multitude de données ultra-confidentielles qui garantissent, en temps normal, la sécurité du réseau et des appareils qui y sont connectés.

Déclaré obsolète en 2020, le DIR-859 est plus vulnérable que jamais © D-Link
Déclaré obsolète en 2020, le DIR-859 est plus vulnérable que jamais © D-Link

Pas de patch de prévu

Si DL-Link a officiellement communiqué sur l'exploitation active de cette faille, la société a aussi indiqué qu'aucun patch de sécurité ne serait déployé pour l'éradiquer. Cette information préoccupante doit alerter les propriétaires des routeurs affectés et les pousser à changer de modèle le plus rapidement possible. Il s'agit là d'une contrainte un peu rude pour qui s'accommodait d'un vieux modèle encore fonctionnel, mais pleinement justifiée au regard de la dangerosité des attaques qui pourraient survenir.

Par ailleurs, en attendant de troquer votre D-Link DIR-859 contre un équipement plus sûr, il est plus que vivement conseillé de le remiser et de vous contenter de la box internet fournie par votre FAI.

A découvrir
Quels sont les meilleurs routeurs Wi-Fi ? Comparatif 2024

28 mai 2024 à 17h15

Comparatif

Sources : D-Link, GreyNoise

Par Chloé Claessens
Spécialiste cybersécurité

Débarquée chez Clubic en 2020 pour parler logiciels, applications et systèmes d’exploitation, je me suis peu à peu spécialisée dans le domaine de la cybersécurité. J’écris essentiellement sur les VPN, mais je couvre aussi les sujets liés à la sécurité des systèmes et des réseaux.

Articles de Chloé Claessens
Cyber sécurité
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (6)
jvachez

Généralement les routeurs sont branchés en ethernet sur la box, la box ne protège pas ?

yoda_net

si tu branches un routeur derrière une box, c’est que le routeur intégré à la box ne te convient pas. La box est alors utilsée en mode bridge, et ne protège plus rien, puisque ce sont tes réglages du routeur qui font le taf (ou sont censés le faire)

anthony.coppet

En général si tu mets un routeur la box ne sert que de « gateway ». Ce sera donc le routeur qui va etre le principal communicant … Sauf si c’est utilisé en vulgaire switch .

jvachez

Ah c’est possible ? je croyais qu’il fallait garder un niveau de routage sur la box à cause d’incompatibilité de la TV avec d’autres matériels.
Sur les Livebox il y a même pas l’air d’y avoir de mode bridge.

twist_oliver

Rassurez-moi, le fichier « fatlady.php » est bien un fichier rajouté par les pirates, pas un nom de fichier déjà présent ?

MattS32

Quand y a pas de mode bridge, on colle en général le routeur en DMZ de la box, pour minimiser autant que possible l’intervention de la box.

Sur le même sujet
Une nouvelle attaque de "credential stuffing" touche Okta, qui donne des conseils à ses utilisateurs
3 commentaires
Propriétaires de routeurs D-Link et de NAS, attention, le malware Goldoon cible vos données, voici comment vous protéger
2 commentaires
Le malware DarkGate exploite une faille Microsoft déjà corrigée pour se propager
Windows : Microsoft corrige pas moins de 73 vulnérabilités, dont 5 grosses failles critiques
3 commentaires
Phemedrome : un nouveau malware sérieux découvert sur Windows, pensez à bien faire vos mises à jour
4 commentaires
Facebook