The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.10.2013 23:38  В маршрутизаторах D-Link обнаружен бэкдор

В процессе изучения содержимого прошивки маршрутизатора D-Link DIR-100 один из исследователей безопасности выявил наличие скрытого входа, позволяющего получить доступ с правами администратора без ввода пароля, передав при обращении к web-интерфейсу специальную строку идентификации браузера (User-Agent: "xmlset_roodkcableoj28840ybtide"). Более того, в реализации web-интерфейса из состава прошивки была выявлена уязвимость, позволяющая не только войти в web-интерфейс, но и выполнить произвольные команды в системе (прошивки D-Link основаны на Linux).

Изучение прошивок для других устройств показало, что проблема скорее всего также затрагивает модели D-Link DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240, DIR-615 и построенные на той же платформе маршрутизаторы Planex BRL-04UR и BRL-04CW. Дальнейший разбор показал, что бэкдор используется системной утилитой /bin/xmlsetc для автоматического изменения некоторых параметров через web-интерфейс, например, в процессе переконфигурации динамического DNS.

  1. Главная ссылка к новости (http://threatpost.com/d-link-p...)
  2. OpenNews: Проблемы с безопасностью в беспроводных маршрутизаторах Asus RT-N10E
  3. OpenNews: Исследование показало плачевное состояние защищённости SOHO-маршрутизаторов
  4. OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
  5. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
  6. OpenNews: В прошивках ряда устройств D-Link обнаружен бэкдор
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dlink
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 00:00, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]
  • +15 +/
    это не бекдор - это индийская фича)
     
     
  • 2.39, Аноним (-), 06:29, 18/10/2013 [^] [ответить]    [к модератору]
  • +12 +/
    Это такой AWARD_SW 2.0 - теперь с веб интерфейсом, чтобы парням из АНБ было удобнее.
     
     
  • 3.71, kurokaze (ok), 15:16, 18/10/2013 [^] [ответить]    [к модератору]
  • –2 +/
    Точно, а то парни юзающие СОРМ-2 находятся понимаешь ли в привелегированном положении
     
     
  • 4.74, Аноним (-), 15:43, 18/10/2013 [^] [ответить]    [к модератору]
  • +2 +/
    Какие уж тут привилегии? Для них *-линки бэкдоры не делают, да и половина оборудования есть только на бумаге. Приходится по старинке, терморектальным криптоанализом...
     
  • 2.88, Аноним (-), 18:34, 18/10/2013 [^] [ответить]     [к модератору]
  • –1 +/
    Я такую фичу искал чтоб файфай с кнопки выключать альтернативных прошивой для м... весь текст скрыт [показать]
     
     
  • 3.97, Аноним (-), 16:21, 19/10/2013 [^] [ответить]     [к модератору]  
  • +/
    В openwrt так можно сделать, если у роутера кнопки есть Ну, при событии нажата... весь текст скрыт [показать]
     
  • 1.3, Zenitur (ok), 00:03, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Проверил с помощью User Agent Switcher. Работает.
     
  • 1.5, vitalif (ok), 00:11, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +11 +/
    У D-Link такое постоянно, по идее все уже должны были выучить прописную истину: купил длинк - смени прошивку СРАЗУ
     
     
  • 2.15, AI (?), 01:01, 18/10/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    Лучше так: "купил длинк - смени СРАЗУ". Последнее время с их железом слишком много проблем.
     
     
  • 3.75, Аноним (-), 15:46, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Лучше так: "купил длинк - смени СРАЗУ". Последнее время с их железом
    > слишком много проблем.

    Большая часть их проблем - от кривого софта как раз.

     
  • 2.38, Аноним (-), 06:22, 18/10/2013 [^] [ответить]    [к модератору]  
  • +10 +/
    >У D-Link такое постоянно, по идее все уже должны были выучить прописную истину: купил длинк - смени прошивку СРАЗУ

    Купил железку с любой проприетарщиной - смени на свободную

     
     
  • 3.89, Аноним (-), 18:38, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Купил железку с любой проприетарщиной - смени на свободную

    железку? Спрашиваю, потому что свободная прошивка свтанет на твой длинк далеко не всегда.

     
     
  • 4.98, Аноним (-), 16:22, 19/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > свободная прошивка свтанет на твой длинк далеко не всегда.

    Если девайс есть в http://wiki.openwrt.org/toh/start - тогда встанет. Вообще, плохо если не встает, да...

     
  • 3.107, Аноним (-), 10:40, 23/10/2013 [^] [ответить]    [к модератору]  
  • +/
    шотам, уже сменил проприетарную микроволновку на свободную?
     
  • 1.7, Аноним (-), 00:31, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +14 +/
    Здесь не хватает апологетов Orcale с их вечным "закрытое ПО более качественное, стабильное и безопасное, чем опенсорцные поделки".
     
     
  • 2.10, Аноним (-), 00:48, 18/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Так вроде же есть исходный код на прошивки.
     
     
  • 3.11, Аноним (-), 00:52, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Тогда почему по ссылке чувак смотрит код дизассемблером?
     
     
  • 4.14, Аноним (-), 00:59, 18/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Ну вот для DIR-615 http pmdap dlink com tw PMD GetAgileFile itemNumber GPL120... весь текст скрыт [показать]
     
     
  • 5.16, Аноним (-), 01:07, 18/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Хотя, конечно, их не так уж просто найти. И не факт, что финальная прошивка полностью идентична исходнику.
     
     
  • 6.48, Andrey Mitrofanov (?), 08:33, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Хотя, конечно, их не так уж просто найти. И не факт, что
    > финальная прошивка полностью идентична исходнику.

    Не факт, что web-инфтерфейс под GPL и будет выложен.

     
  • 5.50, Аноним (-), 09:22, 18/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    > Ну вот для DIR-615:

    Это исходники ядра и GPL-утилит. Web-сервер, web-интерфейс и специфичные утилиты вроде xmlsetc там проприетарные и только в бинарниках

     
  • 2.42, Аноним (-), 07:39, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Здесь не хватает апологетов Orcale с их вечным "закрытое ПО более качественное,
    > стабильное и безопасное, чем опенсорцные поделки".

    И Oracle тоже срочно покупаем все.

     
  • 1.12, SpiritOfStallman (ok), 00:52, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Подскажите, как вот такое "xmlset_roodkcableoj28840ybtide" можно как-то найти?
    Реверсинжиниринг компонентов прошивки? Автоматическое тестирование? Чёрная магия?
     
     
  • 2.13, Аноним (-), 00:58, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    По ссылкам, вроде, написано.
     
     
  • 3.24, SpiritOfStallman (ok), 01:51, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > По ссылкам, вроде, написано.

    Да, спасибо.
    Упёрся в текст, как баран на новые ворота.

     
  • 2.26, Аноним (-), 01:58, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    не позорься, дорогой
     
  • 2.40, CSRedRat (ok), 07:29, 18/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Прочти на оброт ;)
     
  • 2.91, VecH (ok), 21:10, 18/10/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    А если перевернуть
    xmlset_roodkcableoj28840ybtide
    ->
    editby04882joelbackdoor_teslmx

    звучит интереснее ? ))

     
  • 2.100, Аноним (-), 18:56, 19/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Подскажите, как вот такое "xmlset_roodkcableoj28840ybtide" можно как-то найти?

    Да, да. Индус-"поргамист", который это писал, тоже так думал, а вот нашли же.

     
  • 1.17, BayaN (ok), 01:20, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >В маршрутизаторах D-Link обнаружен бэкдор

    Серьёзно? Удивили, блин.

     
     
  • 2.29, Vkni (ok), 02:21, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Да, в заголовке этой "старости" пропущено слово "опять".
     
  • 1.19, Аноним (-), 01:27, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +18 +/
    А прочитайте-ка юзерагент наоборот. Мне одному видится там нечто осмысленное?
     
     
  • 2.20, Аноним (-), 01:35, 18/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > editby04882joelbackdoor

    А ты наблюдательный :)

     
     
  • 3.34, Аноним (-), 03:06, 18/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Гордость Джоела спалила.
     
  • 2.51, burjui (ok), 09:35, 18/10/2013 [^] [ответить]    [к модератору]  
  • +3 +/
    Тоже заметил. Вангую анальный секс Джоела с руководством, если этот говнюк ещё работает в Dead-Link.
     
     
  • 3.65, Аноним (-), 13:20, 18/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > Тоже заметил. Вангую анaльный сeкс Джоела с руководством, если этот гoвнюк ещё работает в Dead-Link.

    Это технический директор же.

     
  • 3.68, Аноним (-), 14:03, 18/10/2013 [^] [ответить]     [к модератору]  
  • +3 +/
    Если увольнять каждого разработчика, который пихает бэкдор - компания D-Link ост... весь текст скрыт [показать]
     
  • 1.35, Аноним (-), 03:24, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Интересно, с каких это пор ДЫР100 стал беспроводным?
     
     
  • 2.43, Аноним (-), 07:43, 18/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну как же Все провода вынимаешь - получаешь беспроводной типа свинтопрульной ... весь текст скрыт [показать]
     
  • 2.45, marks (?), 08:15, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Упомятый в статье 615й очень даже беспроводной, я гарантирую это.
     
     
  • 3.46, Аноним (-), 08:24, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > 615й очень даже беспроводной

    Как DIR-100?

     
     
  • 4.47, Аноним (-), 08:28, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >> 615й очень даже беспроводной
    > Как DIR-100?

    Даже лучше.

     
  • 4.49, marks (?), 08:37, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Даже лучше. Не забыли клевые удобные рожки для переноски с целью раздачи интернетов предусмотреть - http://www.dlink.ru/ru/products/1/729.html
     
  • 1.52, Аноним (-), 09:57, 18/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    D-Link Wireless USB Adapter http www dlink ru ru products 150 344 html , выпу... весь текст скрыт [показать]
     
     
  • 2.59, pkdr (ok), 11:59, 18/10/2013 [^] [ответить]     [к модератору]  
  • –1 +/
    Есть, называется TP-Link, тоже китайцы, цена как у Г-Линков, но работают намного... весь текст скрыт [показать]
     
  • 2.67, ILYA INDIGO (ok), 13:53, 18/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    >нормально работающей альтернативы нет.

    У меня Asus WL520gC http://www.asus.com/Networking/WL520gC/#specifications
    Вполне не плох, а так же радует возможность делать мост для 2-ого реального ip.

     
  • 2.77, Аноним (-), 15:58, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Пичалька в основном для сидящих на ADSL, потому, что сейчас в этом
    > секторе D-Link-у нормально работающей альтернативы нет.

    Ну так openwrt поддерживает и такое. На платформе AR7, например.

     
  • 2.84, Сергей (??), 17:42, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Есть, причем офигенная.
    Берешь любой хороший WiFi-роутер, прошиваешь чем захочешь и к нему дешевый ADSL-модем, лишь бы бриджом нормально работал.
     
     
  • 3.95, Аноним (-), 12:28, 19/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > и к нему дешевый ADSL-модем

    И опять D-Link, будь он неладен. D-Link, кстати в большом почете у Укртелекома.

     
     
  • 4.102, Аноним (-), 19:04, 19/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > D-Link, кстати в большом почете у Укртелекома.

    А как же Iskratel Callisto 821+? Или "прошла любовь,завяли помидоры..."?

     
     
  • 5.106, Аноним (-), 20:45, 19/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Та любовь была в 2006 году, D-Link был до середины 2013, нынешняя любовь это ZTE и [censored]вэи :)
     
  • 1.53, Аноним (-), 10:27, 18/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Не помню как давно была новость про huawei их обвиняли в недрении бэедора, в сво... весь текст скрыт [показать]
     
     
  • 2.61, Аноним (-), 12:46, 18/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Ну, начни Шутничок В России Сам Ну или хотя бы в Китае Деньжонок-то хватамб... весь текст скрыт [показать]
     
     
  • 3.105, Аноним (-), 20:37, 19/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Я смотрю вы как раз таки и мыслите в одном направление, речь то как раз о то и и... весь текст скрыт [показать]
     
  • 1.56, Аноним (-), 11:02, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А пользователей dl-524 ver.B4 как всегда обидели(
     
     
  • 2.66, Аноним (-), 13:22, 18/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > А пользователей dl-524 ver.B4 как всегда обидели(

    Да, для них текст немного другой. Какой - см. дизассемблер.

     
  • 1.57, Аноним (-), 11:38, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    "xmlset_roodkcableoj28840ybtide").
    Задом на перед будет
    Edit by 04882 joel backdoor :)
     
  • 1.60, Инкогнито я (?), 12:18, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Джентльмены, в текст новости вкралась некоторая неточность, а именно следующая - не все DIR-615 подвержены данной уязвимости. Во всяком случае, мой DIR-615 {HwR=K2,FwR=1.0.19} огорчить не удалось.
     
     
  • 2.63, Аноним (-), 12:57, 18/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Как показал Ваш пример и обсуждение выше, не в текст новости вкралась некоторая... весь текст скрыт [показать]
     
  • 1.73, solardiz (ok), 15:21, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В прошедшее воскресенье в Интернете нашлось (всего лишь) 2139 устройств с этим бекдором на 80-м порту. (Результаты по 8080-му порту пока не опубликованы.)

    http://blog.erratasec.com/2013/10/that-dlink-bug-masscan.html

    "On port 80, we found 2139 vulnerable devices, there should be a lot more at port 8080."

     
     
  • 2.85, Адекват (ok), 17:44, 18/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    А где список ip скачать я надеюсь там есть dyndns почему до сих пор не опубл... весь текст скрыт [показать]
     
     
  • 3.103, Аноним (-), 19:09, 19/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Дай г вна, дай ложку Хинт берешь zmap и сам картируешь интернет Весь Довол... весь текст скрыт [показать]
     
  • 1.81, Аноним (-), 16:26, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Новость звучит как "в реках обнаружена вода". DLink вообще не предполагает какого-то контроля доступа.
     
  • 1.82, asavah (ok), 16:56, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Дык дыр-линк же.
    Кстати в некоторых моделях гондур-асуса тоже не так давно была обнаружена подобная сноуден-фишка.
     
  • 1.90, Нанобот (ok), 19:04, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А ведь у Китая тоже есть служба разведки, они вполне могли попросить добавить в прошивка пару функций... А то хомячки последнее время так сильно боятся АНБ, что напрочь забывают, что враги везде и бояться нужно всего
     
     
  • 2.96, anonymous (??), 15:54, 19/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Хомячки ничего не боятся, им нечего скрывать ... весь текст скрыт [показать]
     
     
  • 3.104, Аноним (-), 19:12, 19/10/2013 [^] [ответить]     [к модератору]  
  • +/
    А товарищ-майору пофиг вот логи прова, они показывают что детское порно лили с ... весь текст скрыт [показать]
     
  • 1.92, StainlessRat (??), 22:01, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    К стати, а наши СекСоты берут агромные БАБЛоСЫ за сертификацию дырявого масдАя :) и ведь не стесняются. Вопрос к СекСотам - за что windows XP SP3 сертифицируют когда патчей выпущено не мерянное количество и дыр в этой ОС как звезд на небе ?
     
     
  • 2.94, Аноним (-), 01:08, 19/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    > за что windows XP SP3 сертифицируют

    Отвечаем: за бабки.

     
  • 1.93, StainlessRat (??), 22:04, 18/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    СекСот - Секретный Сотрудник :)
     
  • 1.99, Аноним (-), 17:18, 19/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Этим бинволком прошелся по прошивкам от свичей (DES-3200), обнаружил кучу слов BackDoor. Процессор, вроде, MIPS-подобный, может кто разломает и найдет что это и зачем?
     
     
  • 2.101, Аноним (-), 19:04, 19/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Ага, отреверсируйте мне тут проприетарную к кашку, бесплатно, без смс ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor