Des failles dans les routeurs D-Link exploitées par des hackers

[laliche]

 Une faille d’injection de commandes touche les routeurs D-Link DIR-823X équipés des firmwares 240126 et 24082.

Elle permet à un attaquant d’envoyer à l’appareil une requête piégée via son interface d’administration, de sorte qu’une donnée contrôlée de l’extérieur soit intégrée à une commande système puis exécutée par le routeur.

Une fois cet accès obtenu, il peut lui faire récupérer puis lancer un script malveillant chargé d’installer la variante du botnet Mirai.

La souche déployée, tuxnokill, relie ensuite le routeur compromis à une infrastructure de commande et contrôle, depuis laquelle il peut recevoir des instructions et être mobilisé dans plusieurs types d’attaques DDoS.

Les chercheurs citent notamment des floods TCP SYN, ACK et STOMP, utilisés pour saturer une cible en multipliant les requêtes de connexion, ainsi que des attaques UDP, fondées sur l’envoi massif de paquets, et HTTP NULL, qui visent à submerger un service web.

D’après Akamai, cette campagne ne cible pas seulement les routeurs D-Link, les équipes de recherche ayant également observé des tentatives comparables contre des TP-Link Archer AX21, vulnérable à la faille CVE-2023-1389, ainsi que contre des ZTE ZXV10 H108L, exposés à une autre vulnérabilité d’exécution de code à distance documentée il y a treize ans.

Des routeurs obsolètes, donc durablement exposés

Problème, les routeurs ciblés par tuxnokill ont tous été déclarés obsolètes, et ne bénéficient donc plus d’un suivi de sécurité actif.

Faute de patch disponible, le plus raisonnable consiste à remplacer votre matériel vieillissant pour éviter de prendre des risques inutiles.

En attendant, il faut réduire au maximum l’exposition de l’appareil, en désactivant toute administration à distance, en s’assurant que l’interface de gestion n’est pas accessible depuis Internet, puis en remplaçant les identifiants par défaut par un mot de passe solide et unique.