Backdoor sui router D-Link

Porta / DoorQuello che era probabilmente un metodo per cambiare dinamicamente le impostazioni del router si è rivelato una pericolosissima backdoor.

Craig Heffner ha scoperto che si può accedere all’interfaccia amministrativa di alcuni router D-Link senza che vengano chieste le credenziali impostando lo User Agent del proprio browser a xmlset_roodkcableoj28840ybtide (se letta al contrario la parte alfabetica è editby joelbackdoor).

Dopo aver analizzato il firmware, Craig ha ipotizzato che la backdoor possa servire ad alcune parti del firmware stesso per riconfigurare dinamicamente l’apparato sfruttando una facility (la configurazione web, appunto) che ha già dentro di sé il codice per la gestione della configurazione. Un’altra pietra della pavimentazione della via per l’inferno.

Ovviamente dalle porte aperte può entrare di tutto, prova ne sia che qualcuno ha trovato il sistema per eseguire da remoto del codice sfruttando quella backdoor.

Non esiste un elenco completo dei modelli interessati da questo problema, un  lista parziale include DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 e probabilmente DIR-615. Planex utilizza il firmware D-Link in questione sui router BRL-04UR e BRL-04CW.

Per ora D-Link non ha diramato alcuna comunicazione in merito.

Gli smanettoni possono riciclare il loro D-Link bacato caricando un firmware alternativo, dopo aver verificato la compatibilità, aver letto religiosamente le istruzioni e aver capito quello che stanno per fare. Tra i progetti in cui si può andare a sbirciare ci sono DD-WRT e OpenWRT. Una volta caricati questi firmware alternativi, non solo si fa girare un software open source, meno prono (ma non intrinsecamente immune) ad essere infestato da backdoor, ma si sbloccano o aggiungono molte funzionalità non previste nel firmware originale.

Aggiornamento: Secondo Threat Post D-Link sta lavorando ad un aggiornamento che sarà disponibile per fine ottobre. Nel frattempo qualcuno ha scoperto che il firmware D-Link è utilizzato anche da qualche router cinese

Aggiornamento 2/12/2013D-Link ha finalmente pubblicato gli aggiornamenti del firmware. La società sconsiglia inoltre di abilitare il remote management. (via The Hacker News)

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento