DSL 2780B Rev Ax, DSL 526B Rev Bx : Vulnérabilité permettant de modifier les entrées DNS non authentifiées à distance (DNSChanger)
08 avril, 2019
Présentation
Les informations suivantes ont a été initialement publiées par D-Link en décembre 2016. Cette annonce a été mise à jour avec les dernières informations publiées le 4 avril 2019 concernant le logiciel malveillant DNSChanger.
Tom's Guide a publié un rapport en décembre 2016 sur « une nouvelle campagne de publicité malveillante attaquant au moins 166 modèles de plusieurs fabricants ».
Il semble que le logiciel malveillant cible 166 modèles de routeurs distincts, mais seule une poignée d'entre eux a pu être identifiée. Le rapport original avait identifié le DSL-2740R de D-Link et un correctif a été proposé.
D-Link a été mis au courant d'un nouveau message publié par une tierce partie élargissant le champ d’application et mettant en outre en cause les routeurs DSL-2640B, DSL-2780B et DSL-526B de D-Link qui ne sont pas vendus en Europe avec les versions de microprogramme incriminées.
Accréditation et coordination
(12/2016) :http://www.tomsguide.com/us/malvertising-router-attack,news-24034.html
D’autres nouvelles publiées sur Internet en 2016 :
- https://www.tomsguide.com/us/dlink-routers-hack-attack,news-29816.html
- https://www.bleepingcomputer.com/news/security/malvertising-campaign-infects-your-router-instead-of-your-browser/
- https://www.onthewire.io/new-malvertising-campaign-exploits-home-routers-changes-dns-entries/
- https://www.proofpoint.com/us/threat-insight/post/home-routers-under-attack-malvertising-windows-android-devices
(04/04/2018) :https://badpackets.net/ongoing-dns-hijacking-campaign-targeting-consumer-routers/
Troy Mursch : badpackets.net/author/badpackets/
Exploit-DB :
DSL-2640B / Version matériel Rev T1 / Microprogramme GE_1.07 / Non-É.-U. : Lien
DSL-2740B / Version matériel Rev Ax / Microprogramme EU_1.15 / Non-É.-U. : Lien
DSL-2780B / Version matériel Rev Ax / Microprogramme DLINK_1.01.14 / Non-É.-U. : Lien
DSL-526B / Version matériel Rev Bx / Microprogramme AU_2.01 / Non-É.-U. : Lien
D’autres nouvelles publiées sur Internet en 2019 :
https://www.zdnet.com/article/hacker-group-has-been-hijacking-dns-traffic-on-d-link-routers-for-three-months/
https://arstechnica.com/information-technology/2019/04/ongoing-dns-hijackings-target-unpatched-consumer-routers/
https://threatpost.com/hackers-abuse-google-cloud-platform-to-attack-d-link-routers/143492/
https://www.forbes.com/sites/kateoflahertyuk/2019/04/05/hackers-are-targeting-d-link-home-routers-heres-how-to-secure-yours/#10e7e41b2cb0
Modèles de produits touchés et correctifs :
Le DSL-2740R, qui était disponible en Europe, a été corrigé en conséquence lorsqu'il a été identifié comme étant vulnérable en 2015. Les produits nouvellement mis en cause sont déployés avec un microprogramme qui n'est pas proposé en Europe. En outre, certains de ces modèles sont déployés directement par des opérateurs avec des configurations uniques et certifiées.
Si vous avez reçu votre appareil de votre opérateur, veuillez le contacter directement pour obtenir des correctifs. Il est recommandé de contacter l’assistance à la clientèle D-Link de votre région pour obtenir des correctifs spécifiques. L’utilisation d’un microprogramme qui n’est pas destiné à votre région ou à votre opérateur est à vos propres risques et peut désactiver l’appareil.
|
Modèle |
Version du matériel |
Région |
Microprogramme touché |
Microprogramme corrigé |
Dernière mise à jour |
|
DSL-526B |
Toutes les versions rev B |
Australie |
AU v2.01 et versions antérieures (inférieures) |
En cours d'investigation |
05/04/2019 |
|
DSL-2640B |
Toutes les versions rev T |
Malaisie |
GE v1.07 et versions antérieures (inférieures) |
En cours d'investigation |
05/04/2019 |
|
DSL-2740R |
Toutes les versions rev A |
Europe |
EU v1.15 et versions antérieures (inférieures) |
01/2015 |
|
|
DSL-2780B |
Toutes les versions rev A |
AU/NZ |
v1.01.14 et versions antérieures (inférieures) |
En cours d'investigation |
05/04/2019 |
Options pour les routeurs et les passerelles D-Link qui ne sont plus pris en charge ou sont en cours d’investigation :
1. Contactez votre fournisseur de services DSL ou l’assistance à la clientèle D-Link de votre région pour obtenir les derniers renseignements et correctifs.
2. Réinitialisez l’appareil aux paramètres d'usine à l'aide de son interface de configuration Web à l'adresse http://192.168.0.1, définissez un nouveau mot de passe unique et complétez la configuration pour votre opérateur DSL.
3. Modifiez l'appareil à l'aide de son interface de configuration Web à l'adresse http://192.168.0.1 et définissez manuellement les valeurs du serveur de noms de domaine (DNS) (les instructions se trouvent dans les manuels d'utilisation des appareils ici) :
- DNS de Google : 8.8.8.8 or 8.8.4.4
- DNS de Cloudfare : 1.1.1.1
À propos du correctif de sécurité pour vos appareils D-Link
Les mises à jour du microprogramme corrigent les vulnérabilités de sécurité des appareils D-Link touchés. D-Link fournira des mises à jour le cas échéant et nous recommandons vivement à tous les utilisateurs d’installer les mises à jour correspondantes.
Comme nos produits existent en différentes versions, vérifiez votre appareil avant de télécharger la mise à jour du microprogramme correspondant. La version du matériel se trouve généralement sur l'étiquette du produit située sous l'appareil, près du numéro de série. Vous pouvez également la trouver dans la configuration Web de l'appareil.