Il ricercatore Pierre Kim ha individuato dieci vulnerabilità di tipo zero-day nel router D-Link 850L, sembra che i dispositivi affetti siano intorno alle centomila unità.
Le vulnerabilità scoperte sono di grave entità e se sfruttate possono permettere ad un attaccante di modificare il firmware ed eseguirne l’hijack, prendere il controllo del router da remoto, accesso tramite backdoor ecc
Nello specifico i problemi riscontrati sono questi, come riportato dal ricercatore a questo link:
1. Protezione del firmware: il firmware, vista la mancanza di protezione, è rimpiazzabile ovvero un attaccante può caricare un firmware modificato; questo è valido per la revisione A del dispositivo, la revisione B invece ha una password di protezione al firmware, la quale può essere comunque estratta.
2. WAN & LAN – rev. A – XSS: Vulnerabilità di tipo Cross-Site Scripting (XSS) che permette tramite LAN o WAN di attaccare un utente connesso al router per rubare i cookie di autenticazione
3. WAN & LAN – rev. B – Recupero delle credenziali di autenticazione del router, per poterlo poi associare all’account MyCloud potendo così prendere pieno controllo del device
4. WAN – rev. A and rev. B – Il protocollo di comunicazione usato da MyCloud non è criptato e le comunicazioni tra il router e l’account MyCloud possono essere intercettate facilmente
5. LAN – rev. B – Accesso tramite Backdoor via AlphanetNetworks
6. WAN & LAN – rev. A and rev. B – Le chiavi di cifratura private sono salvate codificate nel firmware, cosa che permette ad un attaccante di estrarle tramite un attacco Man-In-The-Middle
7. WAN & LAN – rev. A – Questa vulnerabilità permette di alterare le impostazioni DNS tramite richieste HTTP non autenticate per deviare il traffico verso server dell’attaccante
8. Local – rev. A and rev. B – Le credenziali del router sono salvate in chiaro, i file salvati localmente possono esser esposti ad attacchi
9. WAN – rev. B – Il DHCP è vulnerabile a diversi injection attacck, permettendo l’accesso completo
10. LAN – rev. A and rev. B – E’ possibile eseguire attacchi DOS facendo crashare alcuni servizi (o demoni) essenziali del router
Ufficialmente non c’è ancora risposta da parte del produttore D-Link, il quale non ha ancora rilasciato aggiornamenti correttivi.
Per approfondimenti e fonte: