Se siete in possesso di un router D-Link DIR-850L AC1200 Dual Band Gigabit Cloud, abbiamo parecchie cattive notizie per voi.
Secondo il ricercatore Pierre Kim, il prodotto ha 10 vulnerabilità di sicurezza abbastanza gravi da fargli raccomandare a chi lo possiede di “disconnetterlo immediatamente da Internet”.
Sembra preoccupante, ma c’è di peggio. In primo luogo, Kim ha reso pubblici i difetti senza prima coordinarsi con D-Link, un’azione insolita che lo stesso Kim afferma di aver compiuto dopo che l’azienda ha risposto in malo modo l’anno scorso ai problemi che aveva segnalato in merito ad un altro prodotto, il router mobile hotspot DWR-932B.
In secondo luogo, la lenta, per non dire nessuna, risposta di D-Link (e il fatto che il router AC1200 è stato dismesso qualche mese fa) aumenta la probabilità che i più recenti difetti non siano mai stati completamente risolti.
Tra i difetti rinvenuti da Kim:
- Mancanza di protezione per il firmware del router su hardware revA che consentirebbe agli attaccanti di caricare una nuova immagine. La revB ha una password hard-coded
- Molti difetti di scripting cross-site (XSS).
- Una serie di punti di debolezza nell’implementazione del protocollo cloud dei dispositivi
- I router RevB consentono l’accesso backdoor
- Mancanza di autenticazione che protegge la configurazione DNS
Non è certo la prima volta che D-Link fa notizia per la sicurezza di un suo prodotto. Naked Security ha riportato parecchi problemi negli ultimi tempi, inclusi quelli del 2015 con il DIR-820L e del 2017 chiamata CVE-2017-6206.
All’inizio del 2017, la D-Link ha addirittura sconvolto la Federal Trade Commission degli Stati Uniti, che ha presentato una richiesta riguardante la presunta mancata riparazione dei difetti delle telecamere IP e dei router.
Alcuni potrebbero non essere così felici che Kim abbia rivelato difetti per i quali potrebbe non esserci una correzione, ma di contro sapere che esistono è preferibile ad una beata ma pericolosa ignoranza.
Il problema è che mentre la società ha dismesso un prodotto lanciato nel 2013 e venduto (per quanto possiamo dire) fino al 2016, gli utenti continueranno a utilizzarlo ancora per anni.
Se la società non riesce a risolvere i problemi verificatisi dopo la data di dismissione del prodotto c’è poco da fare. Infatti da un punto di vista legale le aziende non sono obbligate a continuare a rilasciare patch nel futuro, poco importa se le vulnerabilità non dovrebbero esserci fin dall’inizio.
Sfortunatamente i router non vengono venduti in scatole che riportano la data di scadenza, ma forse dovrebbero!
Lascia un commento