CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

17/10/2013

Trobada porta posterior en routers D-Link

Craig Heffner, investigador de seguretat especialitzat en maquinari i microprogramari, ha trobat una porta del darrere en els encaminadors D-Link que permetria evadir l’autenticació i accedir al portal web d’administració del dispositiu sense necessitat de conéixer les credencials d’accés.

Risc: Mitjà

Craig, com conta en el seu blog, va descarregar el microprogramari versió 1.13 per al dispositiu DIR-100 i va efectuar una anàlisi d’enginyeria inversa per a extraure els arxius corresponents al servidor web que l’encaminador publica per a la seua administració.

Desassemblant el binari corresponent al servidor web (/bin/webs) va trobar que la funció 'alpha_auth_check' torna un valor AUTH_OK per a certs valors de les capçaleres de les peticions HTTP. Este valor significa que l’autenticació ha reeixit i es procedix amb la petició.

Veient el codi reconstruït per Craig podem observar que, quan s’accedix a les carpetes “graphics/” i “public/” torna AUTH_OK. Això és lògic, ja que es tracta de carpetes que contenen recursos públics, necessaris per a construir la interfície de preautenticació. Però si observem, hi ha una comparació de cadenes via 'strcmp' on s’està comparant la cadena actual de l’User-agent i un cert valor literal. És a dir, si el nostre 'User-agent' és “xmlset_roodkcableoj28840ybtide”, llavors el sistema ens donarà per autenticats i ens obrirà pas a qualsevol lloc de la interfície.

Graig es va molestar a esbrinar a través de SHODAN quants encaminadors D-Link podrien estar afectats. Això és possible perquè SHODAN indexa la informació publica dels sistemes que estan exposats en Internet.

Finalment, algú identificat com Travis Goodspeed va aprofundir en el treball de Craig Heffner i trobà que la cadena associada a la porta del darrere és usada per una utilitat inclosa en el sistema "/bin/xmlsetc". Tot apunta que este mecanisme d’evasió podria ser usat per a tasques administratives automatitzades i no un disseny imposat en el dispositiu de manera maliciosa.

 

Sistemes Afectats:

Los routers afectados por este problema podrían ser los siguientes:

També estarien afectats altres encaminadors que usen este microprogramari, com els Planex:

Referències:

None

Solució:

De moment, fins que el fabricant intervinga, els dispositius que empren este microprogramari serien vulnerables a esta porta del darrere. N’hi ha prou amb canviar l’'User-agent' del navegador (pot fer-se amb un connector o a través d’un servidor intermediari http) a la cadena “xmlset_roodkcableoj28840ybtide” per a obtindre accés privilegiat.

 

Notes:

Reverse Engineering a D-Link Backdoor
Client for the DLink Backdoor, /bin/xmlsetc


Font: Hispasec una-al-día

CSIRT-CV