La CISA (Cybersecurity & Infrastructure Security Agency), agenzia governativa degli Stati Uniti in materia di cyber-sicurezza, ha aggiunto una nuova voce al proprio catalogo di vulnerabilità note e sfruttate, sotto il codice CVE-2021-45382. La vulnerabilità in questione riguarda alcuni router D-Link, ed è di tipo Remote Command Execution (RCE). In sostanza, viene sfruttata tramite la funzione DDNS (che consente ai sistemi di superare i problemi correlati agli indirizzi IP dinamici quando provano a connettersi a risorse su internet i cui IP possono cambiare in qualsiasi momento) nel file binario ncc2.

Il servizio ncc2 consente di aggiornare il file della lingua e il firmware di base attraverso l’interfaccia web. Purtroppo, nei dispositivi interessati, tale servizio include anche diversi hook diagnostici, che risultano richiamabili anche senza autenticazione. In questo modo, è possibile ricavare varie informazioni dal dispositivo e abilitare i servizi diagnostici su richiesta. Sfruttando questa vulnerabilità, dunque, è facilissimo prendere il controllo dei router in questione, come dimostrato da un Proof of Concept (PoC) disponibile su GitHub.

Ecco l’elenco dei router D-Link in cui è stato riscontrato il problema:

• DIR-810L
• DIR-820L/LW
• DIR-826L
• DIR-830L
• DIR-836L

La vulnerabilità riguarda tutte le revisioni hardware di questi modelli, inoltre tutti i router DIR-810L, DIR-820L, DIR-830L, DIR-826L e DIR-836L hanno raggiunto lo stato EOL (End of Life), ovvero la fine del ciclo di vita, per tanto non sono più supportati, tanto che l’ultimo aggiornamento risale al 19 dicembre 2021.

Dal momento che non verranno più aggiornati, la CISA consiglia di dismettere e sostituire il prima possibile questi router, soprattutto in ambito aziendale, al fine di evitare qualsiasi rischio di attacco informatico. Di recente, la CISA aveva consigliato di fare altrettanto con i router D-Link DIR-610 e DIR-645, nonché il Netgear DGN2200.

Nell’ambito della sicurezza informatica, infatti, non basta disporre di uno dei migliori antivirus sul commercio. Le aziende devono stare attente anche a utilizzare componenti hardware aggiornati e privi di vulnerabilità note, ecco perché è fondamentale consultare di frequente risorse come il catalogo CVE messo a disposizione dalla CISA.