Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/12/2013
A mitjan octubre informàvem del descobriment d’una porta posterior en els encaminadors D-Link que permetia evadir l’autenticació i accedir al portal web d’administració del dispositiu sense necessitat de conéixer les credencials d’accés.
El problema residia en el fet que si el "User-agent" del navegador era "xmlset_roodkcableoj28840ybtide" llavors el sistema ens donava per autenticats i ens obreria el pas a qualsevol lloc de la interfície. Els encaminadors afectats per este problema són els següents: DIR-100, DIR-120, DI-524, DI-524UP, DI-604UP, DI-604+, DI-624S i TMG5240. En l'una-al-dia publicada anteriorment es poden trobar més detalls sobre la vulnerabilitat.
Sistemes Afectats:DIR-100
DIR-120
DI-524
DI-524UP
DI-604UP
DI-604+
DI-624S
TM-G5240
CVE-2013-6026
Solució:D-Link ha publicat versions actualitzades del firmware dels dispositius afectats. Atesa la diversitat de versions afectades (en alguns models l’actualització també depén de la regió) es recomana consultar l’avís publicat per D-Link.
Notes:una-al-dia (14/10/2013) Encontrada puerta trasera en routers D-Link
http://unaaldia.hispasec.com/2013/10/encontrada-puerta-trasera-en-routers-d.html
Reverse Engineering a D-Link Backdoor
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/
Client for the DLink Backdoor, /bin/xmlsetc
http://pastebin.com/aMz8eYGa
D-Link routers authenticate administrative access using specific User-Agent string
http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10001