Lien D

D-Link avertit ses clients de remplacer les modèles de routeurs VPN en fin de vie après la découverte d’une vulnérabilité critique d’exécution de code à distance non authentifiée qui ne sera pas corrigée sur ces appareils.

La faille a été découverte et signalée à D-Link par le chercheur en sécurité « delsploit », mais les détails techniques ont été cachés au public pour éviter de déclencher des tentatives d’exploitation massives dans la nature.

La vulnérabilité, à laquelle aucun CVE n’est encore attribué, affecte toutes les révisions matérielles et micrologicielles des DSR-150 et DSR-150N, ainsi que des DSR-250 et DSR-250N du micrologiciel 3.13 à 3.17B901C.

Publicité

Ces routeurs VPN, populaires dans les bureaux à domicile et les petites entreprises, ont été vendus à l’international et ont atteint leur fin de service le 1er mai 2024.

D-Link a clairement indiqué dans l’avis qu’il ne publierait pas de mise à jour de sécurité pour les quatre modèles, recommandant aux clients de remplacer les appareils dès que possible.

« Les DSR-150 / DSR-150N / DSR-250 / DSR-250N, toutes les versions matérielles et versions du micrologiciel, sont EOL/EOS à compter du 01/05/2024. Cet exploit affecte cet ancien routeur D-Link et toutes les révisions matérielles, qui ont atteint leur fin de vie […]. Les produits qui ont atteint leur EOL/EOS ne reçoivent plus de mises à jour logicielles ni de correctifs de sécurité et ne sont plus pris en charge par D-Link US. » – D-Link

Le fournisseur note également qu’un micrologiciel ouvert tiers peut exister pour ces appareils, mais il s’agit d’une pratique qui n’est ni officiellement prise en charge ni recommandée, et l’utilisation d’un tel logiciel annule toute garantie couvrant le produit.

« D-Link recommande fortement de mettre ce produit hors service et prévient que toute utilisation ultérieure de ce produit peut présenter un risque pour les appareils qui y sont connectés. » lit le bulletin.

« Si les consommateurs américains continuent d’utiliser ces appareils contrairement aux recommandations de D-Link, veuillez vous assurer que l’appareil dispose du dernier micrologiciel connu qui peut être trouvé sur le site Web existant. »

Les utilisateurs peuvent télécharger le micrologiciel le plus récent pour ces appareils à partir d’ici :

Il convient de noter que même l’utilisation de la dernière version du firmware disponible ne protège pas l’appareil contre la faille d’exécution de code à distance découverte par delsploit, et aucun correctif ne sera officiellement publié pour celui-ci.

La réponse de D-Link s’aligne sur la stratégie du fournisseur de matériel réseau consistant à ne pas faire d’exceptions pour les appareils EoL lorsque des failles critiques sont découvertes, quel que soit le nombre de personnes utilisant encore ces appareils.

« De temps en temps, D-Link décidera que certains de ses produits ont atteint la fin de support (« EOS »)/fin de vie (« EOL ») », explique D-Link.

« D-Link peut choisir d’opter pour un produit EOS/EOL en raison de l’évolution de la technologie, des demandes du marché, de nouvelles innovations, de l’efficacité du produit basée sur de nouvelles technologies, ou bien le produit mûrit avec le temps et doit être remplacé par une technologie fonctionnellement supérieure. »

Plus tôt ce mois-ci, le chercheur en sécurité « Netsecfish » a divulgué des détails sur CVE-2024-10914, une faille critique d’injection de commandes affectant des milliers de périphériques NAS EoL D-Link.

Le fournisseur a émis un avertissement mais pas de mise à jour de sécurité, et la semaine dernière, le service de surveillance des menaces, The Shadowserver Foundation, a signalé avoir constaté des tentatives d’exploitation actives.

La semaine dernière également, le chercheur en sécurité Chaio-Lin Yu (Steven Meow) et le centre informatique et de réponse de Taiwan (TWCERTCC) ont révélé trois vulnérabilités dangereuses, CVE-2024-11068, CVE-2024-11067 et CVE-2024-11066, ayant un impact sur l’EoL. Modem D-Link DSL6740C.

Malgré les analyses Internet renvoyant des dizaines de milliers de points de terminaison exposés, D-Link a décidé de ne pas prendre en compte le risque.

5/5 - (413 votes)
Publicité
Article précédentLe jeu de cartes The Binding Of Isaac est à 64 % de réduction – Excellent jeu de stratégie coopératif et solo
Article suivantMicrosoft teste désormais le hotpatch sur Windows 11 24H2 et Windows 365
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici