22:21
20/6/2012

W routerach TP-Link znaleziono backdoora, który daje dostęp do debug-shella na prawach roota. Potencjalnie można więc przejąć kontrolę nad routerem (access pointem), zmienić jego konfigurację lub podsłuchać ruch jego użytkowników. Poniżej o tym, jak sprawdzić, czy wasz model routera jest podatny oraz co zrobić, aby się przed tym zabezpieczyć.

Backdoor w routerach TP-Link

Firma Websec opisała 2 dni temu interesującego backdoora w modelach TP-Link WDR740N, WDR740ND (firmware: 3.12.11 Build 111130 Rel.55312n). Okazuje się, że programiści panelu zarządzania routerem zahardcodowali dane dostępowe do tajnego zasobu, umożliwiającego przejęcie kontroli nad routerem:

http://TPLINK_IP/userRpmNatDebugRpm26525557/linux_cmdline.html
Login: osteam
Hasło: 5up

Powyższe dane umożliwiają dostęp do konsoli, dzięki której można uruchamiać dowolne polecenia na routerze.

tplink shell

tplink shell (fot. Websec)

Jak się ochronić?

Sprawa nie jest prosta — odkrywcy błędu twierdzą, że do shella można dostać się lokalnie (LAN) i zdalnie (najprawdopodobniej chodzi o WAN). Z racji tego, że backdoor jest zaszyty w firmware, dopóki nie mamy patcha niewiele możemy zrobić aby go usunąć. Najlepiej, do czasu wydania patcha, przeflashować nasz router na firmware od OpenWRT — tutaj lista wspieranych przez OpenWRT modeli — ale uwaga! jest szansa, że nie będziecie już chcieli wracać na oryginalny firmware od producenta ;)

To nie pierwszy backdoor w routerach

Jako pierwsi sprawę nagłośnili użytkownicy serwisu reddit.com, którzy celnie spostrzegli, że nie TP-Link pierwszy i zapewne nie ostatni… Czytelnicy Niebezpiecznika powinni pamiętać niedawną wpadkę dotyczącą loadbalancerów F5 oraz backdoory w switchach firm 3Com, Dell oraz innych.

PS. Na marginesie, firma Websec opublikowała także błąd typu path traversal w tych samych routerach:

tplink-path-traversal

tplink i path-traversal w zasobie /help (fot. Websec)

…a później dopisała do swojego oświadczenia, że na te same błędy wpadli wcześniej …Rosjanie — i to już w lutym 2011 roku… (z małą różnicą, bo Rosjanie piszą o modelach TL-WR741N i TL-WR741ND). Ciekawe co jeszcze wiedzą Rosjanie? ;-)

23:00
Jak zauważają w komentarzach nasi czytelnicy posiadający routery TP-Linka, niektóre z modeli (inne niż te wymienione powyżej) także zawierają “backdoora”, ale w części z routerów aby z niego skorzystać należy się najpierw poprawnie uwierzytelnić.


Przeczytaj także:



69 komentarzy

Dodaj komentarz
  1. Z takiego backdoora był bym szczęśliwy na moim d-linku.
    A tak mam zamknięte oprogramowanie. Szkoda że nie kupiłem routera z wsparciem DD-WRT.

    • Przecież to opensource i źródła softu leżą na serwerach d-linka. Modyfikuj, kompiluj i wgrywaj do woli ale najpierw polutuj J-TAG

  2. Uff, nie dawno zakupiłem swój pierwszy router, właśnie TP-Link, ale 3420. Wygląda na to, że na tym modelu nie działa backdoor. Ładuje się te całe GUI, ale login i hasło są niepoprawne.

    • Czyli backdoor jest i działa wyśmienicie, tylko nie znasz hasła. natomiast Ci co umieszczali go w sofcie i ci co powinni znają te hasło. nie rozumiem Twojej ulgi i radości

  3. tp link MR3020 tez posiada ten shell, i tez da się bawić jako root, jednak wymaga wpierw www-authenticate. Jednak tenże da się ominąć wpisując kilka razy losowe credencials i dusząc esc.

  4. Security > Remote Management > Remote Management IP Address: 0.0.0.0 i bądź co bądź adekwatnie w Local Management ustawienie odpowiednich maców posiadających access do zarządzania routerem powinno doraźnie pomóc. Niestety muszę potwierdzić, że *741N jest na to podatny, przynajmniej z domyślnym firmwarem.

  5. Na pewno chodzi o WDR740N, a nie WR740N? bo WDRa nie ma na stronach TP-Linka.

    A dodatkowo na:
    3.12.11 Build 110831 Rel.60718n
    WR740N v4
    nie działa przez Wi-Fi (po kablu nie sprawdzałem) ;) więc jest bezpiecznie

    • Mówi Ci coś wyraz WAN ?

    • cytując: “że do shella można dostać się lokalnie (LAN) i zdalnie (najprawdopodobniej chodzi o WAN)”

  6. Sprawdziłem na moim sprzęcie:
    HW: WR1043ND v1 00000000
    SW: 3.13.6 Build 110712 Rel.33710n

    Dostęp do konsoli jest możliwy, login i hasełko działa, ale jest jedno ALE… mianowicie najpierw trzeba się zalogować do routera. Bez tego wyświetli się konsola, ale bez możliwości wykonania poleceń.

  7. Mam TL-WR741N i własnie się przekonałem że ma shella – no nieźle :-P Dzięki za info, teraz muszę pomyśleć jak to potencjalnie wykorzystać ;-)

  8. BTW: mam WR740N, soft 3.12.4, zmieniony port adm. na inny + włączone zewnętrzne zarządzanie. Nie działa ta sztuczka.

    • Poprawka: link do konsoli działa, ale nie działa podany login i hasło, trzeba najpierw zalogować się do normalnego panelu.

    • Firmware Version: 3.12.11 Build 110915 Rel.40896n
      Hardware Version: WR740N v4 00000000
      I tak pyta o hasło:
      http://i2.lulzimg.com/ef63566a10.jpg
      Po zalogowaniu działa pieknie. Świetna konsola.

  9. Na TL-WR1043ND też występuje. Właśnie to sprawdziłem na swoim. Login i pass też się zgadza.

    • Zainstaluj OpenWRT ;-) lepsze od tego shitowego badziewia dostarczanego przez TP-LINKa

    • Tak działa też i u mnie, ale najpierw musisz się uwierzytelnić.

    • Oryginalny firmware na tym routerze gościł u mnie ok. 5 minut.
      Po wgraniu Gargoyle, opartego na OpenWRT, mam możliwość korzystania z Plus LTE, także polecam.

  10. Wszystko w oparciu o ten serwer
    http://www.acme.com/software/micro_httpd/

  11. Firmware Version: 3.12.19 Build 110617 Rel.39329n
    Hardware Version: MR3420 v1 00000000

    również działa :)

  12. WR740N v1/v2 00000000 | 3.11.7 Build 100603 Rel.56412n

    Teoretycznie działa, ale przy próbie wywołania komendy prosi o normalne hasło do routera – jak się ominie to nie wykona cmd

  13. W8901G nie ma shella, ale to jest taki prosty routerek że nawet mnie to nie dziwi ;)

    • pewnie shell ma inny adres :P

  14. Tylko czekać na robaka skanującego sieć pod kątem obecności podatnych urządzeń i np. … wyłączającego je na amen (bricked)

    • Bez sensu, lepiej botnet z nich zrobić.

  15. ciekawe ile rosyjskich backdoorów w openwrt

    • Nie, nie. Tam siedzą tylko białoruscy (White Russian), a czasem i Japończyk się znajdzie (Kamikaze). Tych drugich raczej ciężko zauważyć, mali są…

  16. NA WR740N
    Firmware Version:
    3.12.11 Build 120320 Rel.51047n
    haslo nie banga

    choc nie jestem calkiem pewny … moze zaskoczylo
    choc na poczatek zalogowalem sie przez strone na moim loginie i hasle
    http://i.imgur.com/yY0ln.png
    a tak to wyglada

  17. Ha, jest na TL-MR3220. Podoba mi się!:)

  18. Mam TL-WR1043ND. Jednak potencjalny włamywacz może się obejść smakiem: już dawno wgrałem do niego Gargoyle’a… :)

  19. Na rzeczonym TL-WR740N (nazwę z D spotkałem tylko w związku z tym newsem) login i hasło shella się zgadzają, ale najpierw wyskakuje www-authenticate, w którym trzeba już podać hasło do samego panelu. Przynajmniej powietrzem, po kablu nie sprawdziłem jeszcze :P
    Firmware 3.12.11 Build 120320, ze strony producenta.
    Prowizorycznie można się ochronić wyłączając Remote Management i przede wszystkim zmieniając domyślne admin/admin na coś lepszego.

  20. Na TL-MR3220 działa, ale trzeba najpierw podać poprawny login i pass na www-auth. Przy próbie obejścia tak jak tpro opowiada stronka się ładuje ale nie działa. Tyle dobrego że mam w pytę długie hasło i remote management niedostępny (port 80 wręcz mam przekierowany z zewnątrz na http na 1 z kompów) ;-).

    Swoją drogą thx za info o OpenWRT, myślałem, że to tylko na routerkach Linksysa chodzi.

  21. Firmware Version:3.12.11 Build 110915 Rel.40896n

    czysty

  22. WR740N
    3.12.4 Build 100910 Rel.57694n

    login i hasło poprawne, konsola działa

  23. A passwd, albo passwd osteam na tym shellu działa? :)

  24. Czy to może pomóc mi się zabezpieczyć? http://i.imgur.com/zlteE.png

  25. Ja zaraz po zakupie WR740N nałożyłem kompleksowego ‘pacza’ > DD-WRT i spokój.

  26. biorąc pod uwagę, że firma tp-link ma chinskie dotacje rządowe do produkcji to nie jest to .. jak mówią klasycy:
    its not bug, its a future.

    • chyba feature :D

  27. Firmware Version: 3.4.5 Build 081110 Rel.43717n
    Hardware Version: WR841N v3 00000000

    Co ciekawe u mnie wygląda to tak: http://i.imgur.com/EDAQW.jpg
    Żadnego logowania ani nic…

  28. Biedronkowy TD-W8950ND odporny.

  29. Czy wszystkie routery posiadaja shella ?

  30. u mnie to tez dziala – ale po pierwsze – tylko z lanu (remote management zablokowany) po drugie wcale nie jest tak pieknie – ruchu napewno nie da sie wylapac tedy – dysk 100% uzyty, nie ma zadnego toolsetu zeby cos zgrac na/z routera, conajwyzej mozna routing pomieszac, firewalla i shutnac interfejsy. nic kreatywnego zrobic sie nie da….

  31. Kolejny sprzetowy backdoor. Oczywiscie przypadek.

  32. 4.7.11 Build 101102 Rel.60376n
    WR340G v3 081520C2
    nie dziala : P
    ps bartosz feature nie future : P

  33. WR1043ND v1
    3.13.10 Build 120210 Rel.62735n
    oraz
    WA901N v2
    3.12.6 Build 110214 Rel.33012n

    link i hasła do konsoli działają, ale najpierw trzeba się zalogować na swoje normalne dane do panelu. Z zewnątrz nie da się dostać :)

  34. Po zakupie swojego ToiletPaper-Linka od razu wgralem mu wlasny firmware oparty na linuksie. Korporacyjne malpy potrafia robic w takich sprzetach jedynie dziury.

  35. TL-WA701N 3.12.6 – działa po zalogowaniu

  36. MR 3020 3.12.11 Build 111128 Rel.34725n
    WR 740N 3.12.4 Build 100910 Rel.57694n

    Działa wyłącznie po zalogowaniu się najpierw loginem i hasłem do strony administracyjnej. Bez tego nic nie można zrobić. Oczywiście od dawna nie mam tam tradycyjnego admin/admin… Zarządzanie z WAN-a na szczęście domyślnie wyłączone, a z lokalnej musiałby wejść z kablem do mieszkania, albo przełamać WPA-2…

  37. Zabawne,
    na 1043 po wpisaniu adresu prosi o login i pass .. naciskasz esc, wyświetla konsole wpisujesz dane z początku posta i bangla.

    Ech czytając co raz takie newsy słabo się czasem robi.

  38. hmmm
    w bylej robocie zauważyłem z kumplem że wiele urządzeń planeta jest bliźniaczo podobnych do TP-Link , ciekawe czy istnieje jakiś bliźniak do tego :] i czy też by zadziałało :]

  39. WR340G pokazuje Login Incorrect, po zagłębieniu w źródło jednak widać, iż nie ma pliku z shellem.

  40. Buuu, ja też bym chciał mieć konolę *nixową w routerku… :) (zabezpieczenie pewnie by się jakieś dało zrobić)

  41. TD-W8960N nic się nie pokazuje po wpisaniu adresu (tak, podałem IP routera). Kiedyś próbowałem wgrać jakieś otwarte oprogramowanie, z ciekawości klikam na ten OpenWRT, patrzę a tu jest mój router! Ale klikam, a pliku nie nie da się pobrać, bo nie znaleziono. ;/

  42. Zaczynam się obawiać o swojego TL-WR340G :D Jak to w końcu z nim jest?

  43. Na TD-W8901G wydaje się że nie ma w backdoora.

  44. TL-WR340G – nie działa.

  45. Widze że komuś tam weszła konsola, a soft zaktualizowany?

  46. dlatego wole sprzet z zamknietym oprogramowaniem, przenajmniej wiem ze jak cos sknocone to nie ma do tego dostepu “pol swiata”

    • Chyba sam nie wierzysz w to co napisałeś ;-D. A jeśli wierzysz to .

  47. Dzięki za artykuł, nie miałem pojęcia, że ktoś się zajmuje produkcją alternatywnego oprogramowania do routerów :D
    Od razu wymieniłem i sentencja przytoczona w artykule tj.: “ale uwaga! jest szansa, że nie będziecie już chcieli wracać na oryginalny firmware od producenta ;)” sprawdziła się :-)
    OpenWRT dało mi dużo więcej możliwości i wreszcie! win7 i ubunciak zaczęły się widzieć w workgroupie, nawet można ustalić dowolne Hostname w routerze, które zastąpi oryginalne. Zajebiaszczy <3
    Dziękować dziękować :D

    P.S. Były drobne problemy bo OpenWRT dla TL-WR741N nie ma wbudowanego webUI a lista poleceń jest dość ograniczona. Jednak jak to bywa w przypadku otwarto-źródłowego softu wujek google przekierował na odpowiednie fora, a później to już jak z płatka :-)

  48. Router WR740N
    3.11.1 Build 100312 Rel.42991n

    Shell jest.
    Hasło i login nie działa.

  49. na TP Linku 1043ND Gargoyle to chyba jestem bezpieczny?

    • Pokusiłbym się o stwierdzenie, że na TP Linku 1043ND Gargoyle _ten_ błąd Ciebie nie dotyczy. ;-)

  50. Tak swoją drogą to zastanawiam się, jak w ogóle można kupować routery tp-linka. Miałem kiedyś (krótko) i wystarczyło. Ciągle albo się resetował, albo wyłączał dhcp i musiałem wszystkie sprzęty podpięte pod wifi konfigurować na sztywno. Po przejściu na netgeara dopiero się to uspokoiło i chyba tylko netgear i linksys są warte uwagi. Przynajmniej według mnie.

  51. Głupio się chwalić ale u mnie nadal aktualne i działa :|

  52. Mam pytanie koledzy, chciałem sobie wifi w domu postawic i wyskoczył komunikat ze dostęp do internetu zablokowany po podłączeniu routera, można to jakoś ominąć? Sieć osiedlowa.
    Pewnie provider blokuje dostęp przez router, jak to ominąć?

  53. […] tajnym hasłem serwisowym — to oznacza, że część z rejestratorów kamer monitoringu, podobnie jak routery Wi-Fi, posiada swoistego rodzaju […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: