De vilaines failles identifiées dans des routeurs VPN D-Link, les correctifs sont en route

Le pot aux roses a été découvert par l’équipe Vulnerability Research Team de Digital Defense. Des pirates pourraient exploiter les brèches pour « exécuter des commandes arbitraires avec les privilèges root ». Les firmwares jusqu’à la version 3.17 sont touchés. Des détails techniques sont donnés sur cette page.

De son côté, D-Link confirme et indique avoir été prévenu de manière responsable mi-août 2020. Le fabricant ajoute que les routeurs VPN DSR-150, DSR-250, DSR-500 et DSR-1000AC sont concernés, car ils partagent le même firmware. Des correctifs sont disponibles ou en préparation (suivant les modèles) pour deux des trois failles signalées par Digital Defense. Pour la troisième, il y a désaccord.

• Un VPN, à quoi ça sert ?

« L’une des vulnérabilités signalées correspond au fonctionnement attendu, D-Link ne la corrigera pas sur cette génération de produits » indique le constructeur. Il s’agit de la possibilité pour un utilisateur identifié sur le routeur de modifier son fichier de configuration afin d’ajouter des tâches CRON, qui seront exécutées en tant que root. 

« Pour cette génération de produit, le routeur utilise un fichier de configuration en texte brut, afin de pouvoir éditer et télécharger directement la configuration sur d’autres appareils DSR […] nous comprenons le signalement, mais le classons comme une faible menace » une fois que l’accès au routeur est protégé en corrigeant les deux premières brèches.