22:12
4/2/2015

Bułgarski badacz bezpieczeństwa opublikował szczegóły ataku na bezprzewodowe routery D-Linka, a dokładniej, na system operacyjny ZynOS, pod kontrolą którego pracują zarówno routery D-Linka, jak i TP-Linka oraz ZTE. Jeden z podatnych modeli to popularny w Polsce DSL-2740R.

Router D-Link

Router D-Link

Na czym polega dziura?

Dziura polega na możliwości podmiany DNS-ów na routerze ze względu na brak konieczności autoryzacji żądania ustawiającego te parametry. Badacz, który nazywa się “etycznym hackerem” upublicznił kod exploita, ale nie powiadomił o błędzie producenta…

Oto żądanie powodujące podmianę DNS-ów:

http://IP/Forms/dns_1?Enable_DNSFollowing=1&dnsPrimary=$DNSIP1&dnsSecondary=$DNSIP2

Aby atak się udał, ofiara musi albo udostępniać panel zarządzający routerem od strony internetu (interfejs WAN) albo wejść na odpowiednio zmodyfikowaną przez atakującego stronę, która przeprowadzi atak typu CSRF na interfejs administracyjny routera dostępny od strony LAN-u.

Ponieważ badacz nie miał zasobów, aby atak przetestować na innych modelach routerów niż DSL-2740R, a silnie podejrzewa, że także inne są podatne — dajcie znać w komentarzach, jeśli atak powiódł się na Waszym routerze.

Mam D-Linka — co robić, jak żyć?

Jak zwykle w tych sytuacjach:

    1. Wyłącz możliwość zarządzania routerem od strony internetu (interfejsu WAN).
    2. Zdefiniuj na sztywno adresy DNS na swoich komputerach, tabletach, smartphonach, telewizorach, lodówkach, itp.
    3 …albo po prostu wgraj na router alternatywne oprogramowanie, takie jak OpenWRT lub Tomato.

Rok temu podobny błąd skończył się tragicznie…

Dokładnie rok temu w internecie opublikowana inną dziurę w routerach opartych o ZynOS — możliwość odczytania (także bez konieczności uwierzytelnienia) pliku konfiguracyjnego routera, po zdekodowaniu którego można było pozyskać hasło administratora.

Miesiąc później wyszło na jaw, że przy pomocy tej luki wielu Polaków straciło dziesiątki tysięcy złotych — atakujący wykradali hasła administratora, a następnie podstawiali swoje serwery DNS, które zamiast na oryginalne strony banków, przekierowywały użytkowników na fałszywki i wyłudzały dane dostępowe.

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. Jeżeli ktoś ma D-Linka, to duża szansa, że i tak nie dostaje aktualizacji. Gdyby nie DD-WRT mój D-Crap byłby już zutylizowany – wsparcie skończyło się jakiś miesiąc po tym, jak go kupiłem.

    PS. Tylko u mnie NoScript informuje o odfiltrowaniu potencjalnej próby ataku XSS podczas odwiedzania niezebpiecznika?

    • Nie tylko. U mnie tez ;).

      Pozdrawiam.

      Andrzej

    • U mnie też. W dodatku RSS z *ptr dubluje wpisy…

    • U mnie to samo co u Olo.

    • Postawcie sobie TTRSS :). Ma w opcjach “Allow duplicate articles” po odznaczeniu tej funkcji przestalem sie przejmowac tym czy server dubluje wpisy czy nie.

      Mialem ten sam problem z wieloma stronami. Wpisy z YouTube przychodzily nieraz i po 10 razy do tego samego filmiku. Probowalem akregatora, newsbeutera i wielu innych rss readerow. TTRSS jak na razie jeszcze ani razu mnie nie zawiodl.

      Pozdrawiam.

      Andrzej

  2. Uhh, co się w tych Internetach dzieje. Czas najwyższy,by wypiąć RJotkę, zamieszkać na wsi i hodować króliki …

    • A jeśli króliki też mają backdoory?

    • Albo owce…

    • Owce też mają backdoory. Popytaj Bacę… ;)

    • A ty z ISIS jestes, zeby szukać w owcach (i pewnie tez kozach) backdoor’ów? ;)

    • @Wania_
      Czyli ISIS ma specjalistów szukających takich backdorów za pomocą testów penetracyjnych?

    • @aderg A co? Rozglądasz się za robotą? ;P

  3. D-Link DVG-G5402SP z firmware GE_1.02 niepodatny, przynajmniej od strony LAN.

  4. No coś takiego :), powiem wam w sekrecie że słyszałem też o dziurze w implementacji wscanf w libc która jest nie załatana chyba od roku i właśnie nie dawno poszedł request o CVE. To pewnie nie długo też będzie kolejna burza w nocniku

  5. Mój TP-LINK niepodatny. Przynajmniej z telefonu.

  6. Na TL-WR941ND na szczęście nie działa.

  7. TP Linka za to można brutforcem pocisnąć za pomocą JSa. Zupełnie przypadkiem chwilę temu na r/netsec się pojawiło:

    http://www.xexexe.cz/2015/02/bruteforcing-tp-link-routers-with.html

  8. TP-Link Archer C7 niepodatny od strony LAN.

  9. TD-W8970 niepodatny

  10. To już chyba trzecia wersja artykułu, którą czytam. A walącego po oczach na czerwono “aktualizacja” nie mogę znaleźć. 8-P
    Ultrabudżetowy TP link TL-WR340G nie reaguje na ten adres.
    Toż to ten Pan badacz ma takie możliwości sprzętowo/testowe, że prawie jestem pod wrażeniem.

  11. TD-W8970 niepodatny przez LAN

  12. O tak w ogóle zapytam niezobowiązująco, bo mój Dlink za niedługo chyba ducha wyzionie :) Polecacie jakiś konkretny, niezbyt zaawansowany router do domu? Żadnych haksów (w domu ;) nie uprawiam.

    • TL-WR1043ND jeżeli jesteś skłonny natychmiast zainstalować na nim alternatywne firmware.

      Jeżeli twój d-link jest kompatybilny z dd/open-wrt spróbuj najpierw.

    • No właśnie nie jest kompatybilny bo to szrot z 2005go z 2MB pamięci na ROM…

    • Mikrotik RB951Ui-2HnD, masa opcji, mega radio i spoko cena

  13. DWR-116 niepodatny.

  14. TL-WR842ND – niepodatny, wyświetla info o zlym hasle. test od lan.

  15. To może dobrze by było gdyby niebezpiecznik sam przeprowadził ten atak na stronie głównej wpisując dobre DNSy?

  16. Jaki jest najlepszy program do monitorowania sieci wifi??

    • Polecam Netlimiter

    • Dziękuje:)

  17. Kilka dni temu pomagałem się pozbyć koleżance DNSów, które w praktyce przekierowywały ją na pornole na TP-Linku TD-w8901g

    • Również około tygodnia temu rozwiązywałem pdobny przypadek podmiany DNS na routerze Edimax AR-7084g z oprogramowaniem w wersji 2.11.38.0. Najciekawsze, że nie mogłem dotrzeć w jaki sposób uzyskano do niego dostęp skoro ACL, firewall i SPI były włączone :(.

      Jeszcze śmieszniej było, gdy musiałem każdemu użytkownikowi tego AP usuwać pamięć podręczną przeglądarki i to w kilku przypadkach nie jednej. Wracałem się tam ze dwa razy bo sami użytkownicy nie potrafili dotrzeć do odpowiedniej opcji.

  18. Tp-Link TL-MR3420 bezpieczny, prosi o hasło.

  19. TL-WR1043ND nie przechodzi

  20. Huh?

    404 Not Found
    The requested URL /Forms/dns_1 was not found on this server.

  21. GO-RT-N150 nie podatny :)

  22. Mój TL-MR3420 wyrzuca 501 File not found

  23. teraz widzi tylko d-link i od tamtej pory internet mi sie strasznie muli i nie trzeba juz wpisywac hasła i wogóle nie wiem o co tam chodzi pomózcie prosze bo szału dostane model dir-300 ktos wie jak to ogarnac?

  24. D-link DIR-100 (fw 1.11) – nie działa

  25. Co do tych owczych backdoorow to proponowałbym popytać Turasow, podobno są najlepsi, jesli chodzi o… penetrację

  26. Potwierdzam na:
    Product: DSL-3680 Firmware Version: v1.08t Hardware Version: A1

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.