Selon Fortinet, la vulnérabilité a un impact sur le micrologiciel (firmware) D-Link des gammes de produits DIR-655, DIR-866L, DIR-652, et DHP-1565. Le bug critique a reçu un score CVSS v3.1 de 9.8 et un score CVSS v2.0 de 10.0. Afin de déclencher la faille de sécurité, Fortinet indique que les attaquants peuvent effectuer une action de connexion à distance qui est mal authentifiée.
Les chercheurs en sécurité ont communiqué leurs conclusions à D-Link le 22 septembre. Dans les 24 heures qui ont suivi, le fournisseur de matériel a confirmé la vulnérabilité et, trois jours plus tard, D-Link a déclaré que les produits étant en fin de vie. Aucun patch ne sera donc publié.
Remplacer les produits vieillissants pour atténuer le risque d'exploitation
Compte tenu de l'âge de ces routeurs, il n'est pas surprenant que D-Link ait choisi de ne pas émettre de correction. Nos appareils - et leurs micrologiciels - ont tous une date d'expiration et une date de fin de support. Les utilisateurs de ces routeurs devraient donc envisager de remplacer leurs produits vieillissants pour atténuer le risque d'exploitation.
Cependant, toutes les décisions que D-Link a prises en matière de sécurité ne peuvent pas nécessairement être considérées comme raisonnables. D-Link a récemment conclu un accord avec la Federal Trade Commission (FTC) des États-Unis pour faire cesser les les actions en cours qui lui reprochait de ne pas s'attaquer aux vulnérabilités.
Dans le cadre de cet accord, le fournisseur créera un nouveau programme de sécurité pour les routeurs et les produits connectés à Internet, et se soumettra également à des vérifications de sécurité pour les dix prochaines années.
Source : Cette information et actualité qui a suscité notre intérêt, a été publiée sur le site zdnet.fr que nous remercions. il nous a semblé pertinent de vous en faire profiter.
