Repérée par la plateforme de cybersécurité GreyNoise, la faille permet aux pirates de dérober les informations de compte des appareils touchés, parmi lesquels des mots de passe.
Documentée par les chercheurs et data analysts de GreyNoise en fin de semaine dernière, la vulnérabilité estampillée CVE-2024-0769 présente un niveau de sévérité alarmant. Atteignant un score CVSS de 9.8, elle avait déjà été signalée par le NIST (National Institute of Standards and Technology) en janvier.
Aujourd'hui, cette faille critique affecte toutes les versions du firmware intégré aux routeurs Wi-Fi D-Link DIR-859. Problème : les appareils concernés ont été déclarés obsolètes et ne reçoivent plus de mises à jour depuis octobre 2020.
Vol de mots de passe et prise du contrôle des routeurs
En marge des alertes lancées par le NIST et GreyNoise, D-Link a également publié un avis de sécurité sur son blog. On y apprend que la faille réside dans le fichier « fatlady.php » des équipements touchés et permet aux hackers de siphonner des données de sessions, de procéder à une élévation de privilèges et de prendre le contrôle total du routeur en passant par le panneau d'administration. Si l'on ne connaît pas les réelles motivations des pirates, les conséquences de telles attaques sont jugées extrêmement sérieuses.
D'un point de vue plus technique, l'exploit vise le fichier « DHCPS6.BRIDGE-1.xml », et non pas le fichier « DEVICE.ACCOUNT.xml » comme on aurait pu s'y attendre. En d'autres termes, les attaques seraient menées dans le but de cibler d'autres fichiers de configuration sensibles, divulguant des informations sur les listes de contrôle d'accès, le NAT, les paramètres du pare-feu, les comptes associés au routeur et les diagnostics. En bref, une multitude de données ultra-confidentielles qui garantissent, en temps normal, la sécurité du réseau et des appareils qui y sont connectés.
Pas de patch de prévu
Si DL-Link a officiellement communiqué sur l'exploitation active de cette faille, la société a aussi indiqué qu'aucun patch de sécurité ne serait déployé pour l'éradiquer. Cette information préoccupante doit alerter les propriétaires des routeurs affectés et les pousser à changer de modèle le plus rapidement possible. Il s'agit là d'une contrainte un peu rude pour qui s'accommodait d'un vieux modèle encore fonctionnel, mais pleinement justifiée au regard de la dangerosité des attaques qui pourraient survenir.
Par ailleurs, en attendant de troquer votre D-Link DIR-859 contre un équipement plus sûr, il est plus que vivement conseillé de le remiser et de vous contenter de la box internet fournie par votre FAI.
27 septembre 2024 à 17h20
