Vulnerabilità in otto router D-Link

Un ricercatore polacco, Błażej Adamczyk, ha scoperto tre vulnerabilità su diversi router D-Link che, se usate a cascata, consentono di prendere il controllo totale dei device.

Le vulnerabilità sono, in ordine:

CVE-2018-10822 – una vulnerabilità di directory traversal che consente a un attaccante di leggere qualsiasi file con una richiesta http.
CVE-2018-10823 – consente di iniettare una shell nel parametro Sip del file chkisg.htm.
CVE-2018-10824 – le password degli utenti di questi dispositivi sono salvate in chiaro.

Gli apparati D-Link che dopo i test del ricercatore si sono rivelati vulnerabili sono:

DWR-116 through 1.06
• DIR-140L through 1.02 (tranne la CVE-2018-10823)
• DIR-640L through 1.02 (tranne la CVE-2018-10823)
DWR-512 through 2.02
• DWR-712 through 2.02
• DWR-912 through 2.02
DWR-921 through 2.02
• DWR-111 through 1.01

Per il proof-of-concept è stato preparato un video.

Come troppo spesso succede, la timeline della disclosure da parte del ricercatore nei confronti dell’azienda fa vedere una deprimente mancanza di dialogo. Il ricercatore afferma di aver notificato le vulnerabilità a D-Link a maggio. Dopo aver ricevuto risposta che solo gli apparati DWR-116 e DWR-111 avrebbero avuto una patch, l’azienda a quanto pare non si è più fatta sentire. Né avrebbe rilasciato le patch promesse:

• 09.05.2018 – vendor notified
• 06.06.2018 – asked vendor about the status because of long vendor response
• 22.06.2018 – received a reply that a patch will be released for DWR-116 and DWR-111, for the other devices which are EOL an announcement will be released
• 09.09.2018 – still no reply from vendor about the patches or announcement, I have warned the vendor that if I will not get a reply in a month I will publish the disclosure
• 12.10.2018 – disclosing the vulnerabilities

Fra i device in EOL (end of life) per i quali, a giudicare dalla disclosure di Adamczyk, D-Link non intende fornire patch vi sono anche dispositivi ancora in vendita in Italia, ad esempio tramite Amazon, come il DWR-512 e il DWR-921 (quest’ultimo considerato come ancora in in produzione, quindi non in EOL, dal sito italiano di D-Link).

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.