Au moins 92 000 anciens périphériques NAS de D-Link contiennent une porte dérobée codée en dur permettant à des pirates de s’introduire dans le système. Il n’existe pas de correctif.
Un chercheur en sécurité a découvert un dangereux bogue dans les périphériques NAS de D-Link. Cette vulnérabilité est due à un bogue d’injection combiné à un compte codé en dur (« messagebus », sans mot de passe). Grâce à ce bogue et à ce compte, les pirates peuvent exécuter du code propre sur le NAS.
De bonnes et de mauvaises nouvelles
La bonne nouvelle est que D-Link ne fabrique plus d’appareils NAS aujourd’hui et que ces appareils vulnérables sont vieux. En revanche, la mauvaise nouvelle : D-Link ne prend plus en charge les serveurs de stockage concernés, mais au moins 92 000 appareils vulnérables sont encore utilisés.
Voici les logiciels vulnérables à ce bogue :
- DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
- DNS-325 version 1.01
- DNS-327L version 1.09, version 1.00.0409.2013
- DNS-340L version 1.08
Archaïque et non soutenu
D-Link a décidé de cesser ses activités NAS abandonnées. Par conséquent, aucun correctif ne sera disponible pour les utilisateurs. Rien d’étonnant à cela : le D-Link Sharecenter 2-bay-BAS DNS-325, par exemple, a été abandonné en 2015 et n’est plus pris en charge depuis 2017.
La meilleure solution serait donc de mettre ces appareils vulnérables à la retraite et de les remplacer par une solution plus récente. Par ailleurs, c’est une mauvaise idée de connecter un NAS directement à l’internet sans protection supplémentaire. Les données sont en effet un butin facile à trouver pour les attaquants.