Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/10/2013
Craig, com conta en el seu blog, va descarregar el microprogramari versió 1.13 per al dispositiu DIR-100 i va efectuar una anàlisi d’enginyeria inversa per a extraure els arxius corresponents al servidor web que l’encaminador publica per a la seua administració.
Desassemblant el binari corresponent al servidor web (/bin/webs) va trobar que la funció 'alpha_auth_check' torna un valor AUTH_OK per a certs valors de les capçaleres de les peticions HTTP. Este valor significa que l’autenticació ha reeixit i es procedix amb la petició.
Veient el codi reconstruït per Craig podem observar que, quan s’accedix a les carpetes “graphics/” i “public/” torna AUTH_OK. Això és lògic, ja que es tracta de carpetes que contenen recursos públics, necessaris per a construir la interfície de preautenticació. Però si observem, hi ha una comparació de cadenes via 'strcmp' on s’està comparant la cadena actual de l’User-agent i un cert valor literal. És a dir, si el nostre 'User-agent' és “xmlset_roodkcableoj28840ybtide”, llavors el sistema ens donarà per autenticats i ens obrirà pas a qualsevol lloc de la interfície.
Graig es va molestar a esbrinar a través de SHODAN quants encaminadors D-Link podrien estar afectats. Això és possible perquè SHODAN indexa la informació publica dels sistemes que estan exposats en Internet.
Finalment, algú identificat com Travis Goodspeed va aprofundir en el treball de Craig Heffner i trobà que la cadena associada a la porta del darrere és usada per una utilitat inclosa en el sistema "/bin/xmlsetc". Tot apunta que este mecanisme d’evasió podria ser usat per a tasques administratives automatitzades i no un disseny imposat en el dispositiu de manera maliciosa.
Sistemes Afectats:
Los routers afectados por este problema podrían ser los siguientes:
També estarien afectats altres encaminadors que usen este microprogramari, com els Planex:
None
Solució:De moment, fins que el fabricant intervinga, els dispositius que empren este microprogramari serien vulnerables a esta porta del darrere. N’hi ha prou amb canviar l’'User-agent' del navegador (pot fer-se amb un connector o a través d’un servidor intermediari http) a la cadena “xmlset_roodkcableoj28840ybtide” per a obtindre accés privilegiat.
Notes:
Reverse Engineering a D-Link Backdoor
Client for the DLink Backdoor, /bin/xmlsetc