Backdoor a D-Link otthoni routereiben
Aggasztó biztonsági rés található a D-Link egyes hálózati eszközeiben, az érintett termékek korlátlan hozzáférést engedélyeznek, ha megfelelően átállítjuk a böngésző user agentjét. A javítás hónap végéig megérkezik.
Gyakorlatilag védtelenek az egyes D-Link routerek a belső hálózat oldaláról - találta az Embedded Device Hacking csapata. A tajvani cég ugyanis backdoort telepít hálózati eszközeire, amelyet ráadásul a felhasználók nem is tudnak egyelőre lezárni. A súlyos sérülékenység kihasználásához elegendő ismerni az adott router IP-címét, ennek birtokában a belső hálózatról teljes hozzáférés nyitható az eszközökhöz.
A router firmware-ének visszafejtésével megszerzett információk szerint az operációs rendszer beállításaihoz nem csak a normál felületen történő belépéssel lehet hozzáférni, a webszerver akkor is beenged, ha a böngésző user agentjét "xmlset_roodkcableoj28840ybtide"-re állítjuk (visszafelé olvasva: edit by Joel Backdoor). A csoport szerint a vizsgált DI-524UP-hoz hasonló firmware-t használ a DIR-100, DI-524, DI-604S és UP, DI-604+, valamint TM-G5240 jelű router is, így potenciálisan ezek is érintettek lehetnek. A szakemberek szerint a visszafejtésben egyébként nem ők voltak az elsők, egy gyors keresés szerint az orosz fórumokon már évekkel ezelőtt rátaláltak a fenti stringre - a D-Link routerei valószínűleg évek óta ismert biztonsági hibát hordoztak.
A HWSW kérdésére Kilbertus Viktor, a D-Link hazai marketingigazgatója elmondta, hogy október végéig az érintett termékekhez biztonsági frissítést fog kiadni a gyártó, amellyel a backdoor eltávolítható a rendszerből. A frissítések a D-Link oldalán lesznek elérhetőek, ahogy elkészül a frissített szoftver és átesik a minőségellenőrzésen. A gyártó szerint egyébként a hiba a jelenleg forgalmazott termékeket nem érinti, az érintett modellek gyártása még 2010-ben véget ért, az azonos néven ma elérhető eszközök más hardver- és szoftververziót használnak. Igaz, az akkor vásárolt routerek még ma is használatban letnetnek.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A backdoor egyébként a router belső működésében játszik szerepet a szakemberek spekuláció szerint, a dinamikus DNS és egyéb szoftverek férnek hozzá ezen keresztül a router beállításaihoz. A megoldás így nem a cég rosszindulatáról árulkodik, legfeljebb a fejlesztők inkompetenciájának tanúbizonysága.
A teljes képhez tartozik, hogy az érintett routerek kifelé, az internet felé alapértelmezésben zártak, vagyis a távoli támadások csak olyan esetben működnek, ha a felhasználó előzetesen aktiválta a külső elérést a webes felülethez. Ilyen eszközből sincs kevés, a Shodan keresője szerint mintegy háromezer ilyen router található a weben, többségükben Tajvanon, Kínában és Brazíliában, de itthon is van több tucatnyi olyan eszköz, amely érintett lehet.