AGGIORNAMENTO: Abbiamo riportato in fondo la dichiarazione ufficiale di D-Link sull'incidente.
Tutto è cominciato con la scoperta, lo scorso giugno, di una vulnerabilità nell’ultima release del firmware della videocamera di sorveglianza DCS-930L di D-Link. Una falla decisamente grave, che consente con un singolo comando di provocare uno Stack Overflow e avviare l’esecuzione di codice in remoto.
A scoprirla sono stati i ricercatori di Senrio, una startup specializzata in sicurezza nell’Internet of Things. Stando a quanto illustrato nel loro report, è possibile sfruttare la vulnerabilità per creare una backdoor, ma anche sovrascrivere i dati di accesso dell’amministratore e, di conseguenza, prendere il totale controllo del dispositivo.
Il problema, però, si è scoperto non essere limitato a un singolo modello, ma a ben 120 prodotti D-Link, tra cui router e modem. Una ricerca su Shodan ha permesso di individuare i dispositivi vulnerabili: sono 414.949, distribuiti per lo più tra Europa e Stati Uniti.
La concentrazione maggiore è negli Stati Uniti (128.612 dispositivi) seguiti da Canada, Svezia, Francia e, con 16.424 dispositivi vulnerabili, Italia.
Secondo quanto riportato dai ricercatori di Senrio, la vulnerabilità si presta a essere sfruttata per creare un worm che sarebbe in grado di raggiungere i dispositivi con estrema facilità. Un eventuale pirata potrebbe poi facilmente identificare il tipo di dispositivo (e il relativo firmware) per adattare il tipo di attacco al dispositivo specifico.
Uno scenario da incubo, che espone gli utenti a subire l’intercettazione dei dati che transitano sui dispositivi, ma anche all’ipotesi che gli stessi siano utilizzati per qualsiasi altro scopo, ad esempio sfruttando il collegamento Internet per portare attacchi DDoS.
Abbiamo chiesto a D-Link un commento sulla vulnerabilità e sulle contromisure che intendono adottare per arginare il problema, a nostro avviso particolarmente grave, e siamo in attesa di una loro risposta ufficiale.
Considerato che la vulnerabilità sembra essere sfruttabile da remoto, non sarebbe neanche così strano ipotizzare la creazione di un worm che vada a installare il nuovo firmware patchato senza l’intervento degli utenti…
AGGIORNAMENTO: Di seguito riportiamo la dichiarazione ufficiale di D-Link sull'accaduto. Siamo molto lieti di sapere che il nuovo firmware è previsto in distribuzione al massimo per la fine di settimana prossima.
“Security and performance is of the utmost importance to D-Link across all product lines. This is not just through the development process but also through regular firmware updates to comply with the current safety and quality standards.D-Link engineers have been working intensively to address the vulnerability reported in the network application interface, which occurs when malicious data is injected via the DCP protocol. The firmware to remove this command is currently being tested, with expected release by week ending July 15.As part of general, ongoing improvement to our Cloud device interfaces, the DCP protocol was already scheduled for removal. That process will be ongoing into next month.With reference to the claim that 120 models are affected - The DCS-930L is a mydlink (L) camera and currently we are unable to confirm the list of models affected as not every mydlink-enabled device has the DCP protocol installed. mydlink Cloud enabled routers, APs, and modems are safe from this vulnerability.As soon as there are further updates, we will make them available on our mydlink service for automatic upgrade or via our support website for manual download.To benefit from security updates, it is essential that customers regularly review all of the devices on their network to check that each device is running the latest firmware. We also recommend that customers use strong passwords, and that they change these passwords regularly. Advice on how to check and update firmware on D-Link devices can be found here: www.Dlink.com/support"