Des chercheurs en sécurité ont révélé l’existence d’une grave vulnérabilité qui permet de faire de l’exécution de code à distance sur une série de routeurs D-Link. La semaine dernière, les laboratoires FortiGuard de Fortinet ont déclaré que la vulnérabilité, suivie sous la référence CVE-2019-16920, a été découverte en septembre 2019.
Selon Fortinet, la vulnérabilité a un impact sur le micrologiciel (firmware) D-Link des gammes de produits DIR-655, DIR-866L, DIR-652, et DHP-1565. Le bug critique a reçu un score CVSS v3.1 de 9.8 et un score CVSS v2.0 de 10.0. Afin de déclencher la faille de sécurité, Fortinet indique que les attaquants peuvent effectuer une action de connexion à distance qui est mal authentifiée.
Les chercheurs en sécurité ont communiqué leurs conclusions à D-Link le 22 septembre. Dans les 24 heures qui ont suivi, le fournisseur de matériel a confirmé la vulnérabilité et, trois jours plus tard, D-Link a déclaré que les produits étant en fin de vie. Aucun patch ne sera donc publié.
Remplacer les produits vieillissants pour atténuer le risque d’exploitation
Compte tenu de l’âge de ces routeurs, il n’est pas surprenant que D-Link ait choisi de ne pas émettre de correction. Nos appareils – et leurs micrologiciels – ont tous une date d’expiration et une date de fin de support. Les utilisateurs de ces routeurs devraient donc envisager de remplacer leurs produits vieillissants pour atténuer le risque d’exploitation.
Cependant, toutes les décisions que D-Link a prises en matière de sécurité ne peuvent pas nécessairement être considérées comme raisonnables. D-Link a récemment conclu un accord avec la Federal Trade Commission (FTC) des États-Unis pour faire cesser les les actions en cours qui lui reprochait de ne pas s’attaquer aux vulnérabilités. Dans le cadre de cet accord, le fournisseur créera un nouveau programme de sécurité pour les routeurs et les produits connectés à Internet, et se soumettra également à des vérifications de sécurité pour les dix prochaines années.
Article “D-Link router remote code execution vulnerability will not be patched” traduit et adapté par ZDNet.fr
Comments