
Un ricercatore polacco, Błażej Adamczyk, ha scoperto tre vulnerabilità su diversi router D-Link che, se usate a cascata, consentono di prendere il controllo totale dei device.
Le vulnerabilità sono, in ordine:
CVE-2018-10822 – una vulnerabilità di directory traversal che consente a un attaccante di leggere qualsiasi file con una richiesta http.
CVE-2018-10823 – consente di iniettare una shell nel parametro Sip del file chkisg.htm.
CVE-2018-10824 – le password degli utenti di questi dispositivi sono salvate in chiaro.
Gli apparati D-Link che dopo i test del ricercatore si sono rivelati vulnerabili sono:
• DWR-116 through 1.06
• DIR-140L through 1.02 (tranne la CVE-2018-10823)
• DIR-640L through 1.02 (tranne la CVE-2018-10823)
• DWR-512 through 2.02
• DWR-712 through 2.02
• DWR-912 through 2.02
• DWR-921 through 2.02
• DWR-111 through 1.01
Per il proof-of-concept è stato preparato un video.
Come troppo spesso succede, la timeline della disclosure da parte del ricercatore nei confronti dell’azienda fa vedere una deprimente mancanza di dialogo. Il ricercatore afferma di aver notificato le vulnerabilità a D-Link a maggio. Dopo aver ricevuto risposta che solo gli apparati DWR-116 e DWR-111 avrebbero avuto una patch, l’azienda a quanto pare non si è più fatta sentire. Né avrebbe rilasciato le patch promesse:
• 09.05.2018 – vendor notified
• 06.06.2018 – asked vendor about the status because of long vendor response
• 22.06.2018 – received a reply that a patch will be released for DWR-116 and DWR-111, for the other devices which are EOL an announcement will be released
• 09.09.2018 – still no reply from vendor about the patches or announcement, I have warned the vendor that if I will not get a reply in a month I will publish the disclosure
• 12.10.2018 – disclosing the vulnerabilities
Fra i device in EOL (end of life) per i quali, a giudicare dalla disclosure di Adamczyk, D-Link non intende fornire patch vi sono anche dispositivi ancora in vendita in Italia, ad esempio tramite Amazon, come il DWR-512 e il DWR-921 (quest’ultimo considerato come ancora in in produzione, quindi non in EOL, dal sito italiano di D-Link).