Un paquet de vieux routeurs D-Link poussé à la retraite par une vulnérabilité

Une vulnérabilité sévère enregistrée sous l'identifiant CVE CVE-2021-45382 va potentiellement contribuer à envoyer bon nombre de routeurs D-Link à la déchèterie, du moins si les utilisateurs suivent la nouvelle recommandation de la Cybersecurity and Infrastructure Security Agence (CISA) de s'en débarrasser parce qu'elles sont en End of Life (EOL) et que leur support logiciel est à présent inexistant, et qu'elles sont donc très peu susceptibles de faire encore l'objet d'une mise à jour corrective de dernière minute. Il s'agit d'ailleurs aussi du conseil standard du constructeur lui-même pour un appareil en fin de vie. La plupart des modèles concernés ont été construits entre 2012 et 2014 et furent commercialisés un peu partout dans le monde, et sont des routeurs 802.11n ou 802.11c. Plus précisément, il s'agit des références D-Link suivantes (toutes révisions incluses) : DIR-810L, DIR-820L/LW, DIR-826L, DIR-830 et DIR-836L. Notons que toutes avaient reçu leur ultime mise à jour le 19 décembre dernier. 

La faille est une vulnérabilité d'exécution de commande à distance, visiblement suffisamment grave pour qu'une mise hors ligne rapide des appareils soit désormais recommandée. L'attaque repose sur l'exploitation des « hooks » de diagnostic dans le service ncc2 (qui est lié à la fonction DDNS) pouvant être appelé sans authentification, et permettrait à un attaquant de prendre le contrôle et d'y injecter du code malveillant pour obtenir ensuite un accès complet à l'appareil. Une preuve de concept d'exploitation de la faille est déjà disponible publiquement sur GitHub, ce qui augmente probablement d'autant plus les chances d'une attaque via cette brèche. En somme, si vous êtes équipés de l'une ou l'autre de ces références et que la sécurité fait partie de vos préoccupations, autant en profiter pour passer à autre chose (et sans aucun doute meilleur en tout point). Sinon, pour les plus téméraires et les proprios d'un DIR-810L (les autres ne sont a priori pas supportés), il y a toujours l'expérience DD-WRT à tenter. 

Au cas où, sachez que ce ne sont pas les seuls routeurs pour lesquels la CISA a récemment recommandé la retraite, vous pouvez aussi ajouter à la liste DIR-610, DIR-645 chez D-Link et le DGN2200 de Netgear. (Source)