Múltiplos fatores
BLOG

PKI Tecnologia

Buscar

D-Link com backdoor de acesso irrestrito aos seus roteadores



Pode parecer incrível que ainda hoje sejam encontradas backdoors em sistemas, digamos, modernos. Na época do byte lascado, da Internet à vapor, do TCP moleque, roteando em campo de várzea, isso era até muito comum, uma forma do fabricante garantir acesso a um sistema, mesmo que seus usuários fizessem alguma besteira, como remover o usuário de administração.

Antes os sistemas eram isolados. Você tinha um usuário e um terminal, na mesma sala gelada, então era (discutível, mas) aceitável garantir um certo nível de acesso a quem tinha acesso físico ao equipamento. Mas hoje, com a possibilidade de qualquer um acessar qualquer dispositivo remotamente, isso é completamente inadmissível.

No entanto a D-Link caiu nessa tentação e permitiu que uma backdoor fosse implementada na tela de administração de diversos dos seus roteadores, entre eles, os modelos DIR-100,   DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ e TM-G5240, já descobertos até agora.

O funcionamento dessa backdoor é muito simples: a interface administrativa do roteador, antes de perguntar qual é a senha do usuário com privilégios administrativos, consulta o cabeçalho enviado pelo navegador no momento do acesso e procura por essa linha:


User-Agent: xmlset_roodkcableoj28840ybtide


Lendo de trás para frente:  Edit by 04882 Joel: Backdoor.

A presença desse cabeçalho faz o roteador apresentar a tela de administração sem se importar em pedir as credenciais do usuário administrativo.

O objetivo dessa brecha foi permitir que outros sistemas dentro do firmware da D-Link fizessem "manutenções" periódicas como, por exemplo, atualizar seu IP do DynDNS, e para isso esses aplicativos precisavam acessar a interface administrativa.

O problema é que o método que escolheram para permitir esse acesso, também funciona de fora do equipamento, o que seria absolutamente desnecessário.

Se por um lado a interface administrativa não é pública, ou seja, ela não é acessível pela interface WAN (uplink), pelo menos na configuração padrão (é possível permitir - ouch!), por outro lado, qualquer equipamento desses que esteja disponibilizando uma rede wireless para clientes, visitantes ou usuários mal intencionados, permitirá essa conexão.

Combinando esse método de acesso com outras falhas já descobertas que permitem a execução de códigos arbitrários nesse equipamento, a receita para um novo worm está praticamente completa.


Mais informações: http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

A solução para esse problema não partirá do fabricante. A D-Link não tem uma forma fácil de empurrar atualizações de firmware, a não ser que vá visitar, um a um, seus milhões de clientes para fazer a correção. Esse é um problema com o qual teremos que conviver por muitos anos, até que estes equipamentos pifem de vez.

Se você tem um equipamento D-link, verifique se a interface administrativa está bloqueada para acessos externos. Se você usa esse aparelho para qualquer coisa além de uma rede doméstica, jogue-o fora imediatamente.

4 visualizações