Sécurité

Découverte d’une backdoor dans les routeurs D-Link

| Mise à jour
par Jacques Cheminat / LeMondeInformatique.fr

Un expert en sécurité a découvert la présence d'un backdoor dans le firmware de plusieurs routeurs D-Link.

Un backdoor a été trouvé dans le firmware de plusieurs routeurs D-Link. Il pourrait permettre à un attaquant de modifier les paramètres du périphérique dans le cadre d'une surveillance. Craig Heffner, expert en sécurité chez Tactical Network Solution, spécialisé dans les systèmes embarqués et sans fil, a découvert cette porte cachée. Il indique sur son blog que « l'interface web de certains routeurs D-Link peut être accessible si la chaîne de caractère du user agent du navigateur par « xmlset_roodkcableoj28840ybtide ». Plus fort encore, si on lit la dernière partie de cette chaîne à l'envers, on découvre cette phrase « edit by joel backdoor ».

« Mon sentiment est que les développeurs ont réalisé que certains programmes ou services sont nécessaires pour modifier automatiquement les paramètres des périphériques », explique Craig Heffner. Il ajoute que « sachant que le serveur web disposait des codes pour modifier l'équipement, les pirates ont décidé d'envoyer simplement des requêtes au serveur web à chaque fois qu'ils avaient besoin de changer quelque chose ».

Le spécialiste poursuit, « le seul problème est que le serveur web demande un nom d'utilisateur et un mot de passe que l'utilisateur peut changer ». Un problème qui a été contourné par « Joel », constate l'expert en sécurité.

Avec l'accès aux paramètres d'un routeur, un pirate pourrait potentiellement orienter le trafic Internet de quelqu'un vers son propre serveur et lire le trafic de données non chiffrées. Pour trouver les modèles de routeurs D-Link vulnérables, Craig Heffner a utilisé un moteur de recherche spécial appelé Shodan, qui permet de trouver n'importe quel appareil connecté à Internet allant des réfrigérateurs aux caméras de vidéosurveillance en passant par les routeurs.

Les modèles susceptibles d'être touchés de D-Link sont : DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 et probablement le DIR-615. Le firmware est aussi utilisé par les routeurs BRL-04UR et BRL-04CW de Planex. Pour conclure, Craig Heffner a récupéré un post sur un forum russe qui date de 3 ans et qui parle déjà de la chaîne de caractères du user agent modifié.

www.LeMondeInformatique.fr

Kommentare

« Plus