22:21
20/6/2012

W routerach TP-Link znaleziono backdoora, który daje dostęp do debug-shella na prawach roota. Potencjalnie można więc przejąć kontrolę nad routerem (access pointem), zmienić jego konfigurację lub podsłuchać ruch jego użytkowników. Poniżej o tym, jak sprawdzić, czy wasz model routera jest podatny oraz co zrobić, aby się przed tym zabezpieczyć.

Backdoor w routerach TP-Link

Firma Websec opisała 2 dni temu interesującego backdoora w modelach TP-Link WDR740N, WDR740ND (firmware: 3.12.11 Build 111130 Rel.55312n). Okazuje się, że programiści panelu zarządzania routerem zahardcodowali dane dostępowe do tajnego zasobu, umożliwiającego przejęcie kontroli nad routerem:

http://TPLINK_IP/userRpmNatDebugRpm26525557/linux_cmdline.html
Login: osteam
Hasło: 5up

Powyższe dane umożliwiają dostęp do konsoli, dzięki której można uruchamiać dowolne polecenia na routerze.

tplink shell

tplink shell (fot. Websec)

Jak się ochronić?

Sprawa nie jest prosta — odkrywcy błędu twierdzą, że do shella można dostać się lokalnie (LAN) i zdalnie (najprawdopodobniej chodzi o WAN). Z racji tego, że backdoor jest zaszyty w firmware, dopóki nie mamy patcha niewiele możemy zrobić aby go usunąć. Najlepiej, do czasu wydania patcha, przeflashować nasz router na firmware od OpenWRT — tutaj lista wspieranych przez OpenWRT modeli — ale uwaga! jest szansa, że nie będziecie już chcieli wracać na oryginalny firmware od producenta ;)

To nie pierwszy backdoor w routerach

Jako pierwsi sprawę nagłośnili użytkownicy serwisu reddit.com, którzy celnie spostrzegli, że nie TP-Link pierwszy i zapewne nie ostatni… Czytelnicy Niebezpiecznika powinni pamiętać niedawną wpadkę dotyczącą loadbalancerów F5 oraz backdoory w switchach firm 3Com, Dell oraz innych.

PS. Na marginesie, firma Websec opublikowała także błąd typu path traversal w tych samych routerach:

tplink-path-traversal

tplink i path-traversal w zasobie /help (fot. Websec)

…a później dopisała do swojego oświadczenia, że na te same błędy wpadli wcześniej …Rosjanie — i to już w lutym 2011 roku… (z małą różnicą, bo Rosjanie piszą o modelach TL-WR741N i TL-WR741ND). Ciekawe co jeszcze wiedzą Rosjanie? ;-)

23:00
Jak zauważają w komentarzach nasi czytelnicy posiadający routery TP-Linka, niektóre z modeli (inne niż te wymienione powyżej) także zawierają “backdoora”, ale w części z routerów aby z niego skorzystać należy się najpierw poprawnie uwierzytelnić.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

69 komentarzy

Dodaj komentarz
  1. Z takiego backdoora był bym szczęśliwy na moim d-linku.
    A tak mam zamknięte oprogramowanie. Szkoda że nie kupiłem routera z wsparciem DD-WRT.

    • Przecież to opensource i źródła softu leżą na serwerach d-linka. Modyfikuj, kompiluj i wgrywaj do woli ale najpierw polutuj J-TAG

  2. Uff, nie dawno zakupiłem swój pierwszy router, właśnie TP-Link, ale 3420. Wygląda na to, że na tym modelu nie działa backdoor. Ładuje się te całe GUI, ale login i hasło są niepoprawne.

    • Czyli backdoor jest i działa wyśmienicie, tylko nie znasz hasła. natomiast Ci co umieszczali go w sofcie i ci co powinni znają te hasło. nie rozumiem Twojej ulgi i radości

  3. tp link MR3020 tez posiada ten shell, i tez da się bawić jako root, jednak wymaga wpierw www-authenticate. Jednak tenże da się ominąć wpisując kilka razy losowe credencials i dusząc esc.

  4. Security > Remote Management > Remote Management IP Address: 0.0.0.0 i bądź co bądź adekwatnie w Local Management ustawienie odpowiednich maców posiadających access do zarządzania routerem powinno doraźnie pomóc. Niestety muszę potwierdzić, że *741N jest na to podatny, przynajmniej z domyślnym firmwarem.

  5. Na pewno chodzi o WDR740N, a nie WR740N? bo WDRa nie ma na stronach TP-Linka.

    A dodatkowo na:
    3.12.11 Build 110831 Rel.60718n
    WR740N v4
    nie działa przez Wi-Fi (po kablu nie sprawdzałem) ;) więc jest bezpiecznie

    • Mówi Ci coś wyraz WAN ?

    • cytując: “że do shella można dostać się lokalnie (LAN) i zdalnie (najprawdopodobniej chodzi o WAN)”

  6. Sprawdziłem na moim sprzęcie:
    HW: WR1043ND v1 00000000
    SW: 3.13.6 Build 110712 Rel.33710n

    Dostęp do konsoli jest możliwy, login i hasełko działa, ale jest jedno ALE… mianowicie najpierw trzeba się zalogować do routera. Bez tego wyświetli się konsola, ale bez możliwości wykonania poleceń.

  7. Mam TL-WR741N i własnie się przekonałem że ma shella – no nieźle :-P Dzięki za info, teraz muszę pomyśleć jak to potencjalnie wykorzystać ;-)

  8. BTW: mam WR740N, soft 3.12.4, zmieniony port adm. na inny + włączone zewnętrzne zarządzanie. Nie działa ta sztuczka.

    • Poprawka: link do konsoli działa, ale nie działa podany login i hasło, trzeba najpierw zalogować się do normalnego panelu.

    • Firmware Version: 3.12.11 Build 110915 Rel.40896n
      Hardware Version: WR740N v4 00000000
      I tak pyta o hasło:
      http://i2.lulzimg.com/ef63566a10.jpg
      Po zalogowaniu działa pieknie. Świetna konsola.

  9. Na TL-WR1043ND też występuje. Właśnie to sprawdziłem na swoim. Login i pass też się zgadza.

    • Zainstaluj OpenWRT ;-) lepsze od tego shitowego badziewia dostarczanego przez TP-LINKa

    • Tak działa też i u mnie, ale najpierw musisz się uwierzytelnić.

    • Oryginalny firmware na tym routerze gościł u mnie ok. 5 minut.
      Po wgraniu Gargoyle, opartego na OpenWRT, mam możliwość korzystania z Plus LTE, także polecam.

  10. Wszystko w oparciu o ten serwer
    http://www.acme.com/software/micro_httpd/

  11. Firmware Version: 3.12.19 Build 110617 Rel.39329n
    Hardware Version: MR3420 v1 00000000

    również działa :)

  12. WR740N v1/v2 00000000 | 3.11.7 Build 100603 Rel.56412n

    Teoretycznie działa, ale przy próbie wywołania komendy prosi o normalne hasło do routera – jak się ominie to nie wykona cmd

  13. W8901G nie ma shella, ale to jest taki prosty routerek że nawet mnie to nie dziwi ;)

    • pewnie shell ma inny adres :P

  14. Tylko czekać na robaka skanującego sieć pod kątem obecności podatnych urządzeń i np. … wyłączającego je na amen (bricked)

    • Bez sensu, lepiej botnet z nich zrobić.

  15. ciekawe ile rosyjskich backdoorów w openwrt

    • Nie, nie. Tam siedzą tylko białoruscy (White Russian), a czasem i Japończyk się znajdzie (Kamikaze). Tych drugich raczej ciężko zauważyć, mali są…

  16. NA WR740N
    Firmware Version:
    3.12.11 Build 120320 Rel.51047n
    haslo nie banga

    choc nie jestem calkiem pewny … moze zaskoczylo
    choc na poczatek zalogowalem sie przez strone na moim loginie i hasle
    http://i.imgur.com/yY0ln.png
    a tak to wyglada

  17. Ha, jest na TL-MR3220. Podoba mi się!:)

  18. Mam TL-WR1043ND. Jednak potencjalny włamywacz może się obejść smakiem: już dawno wgrałem do niego Gargoyle’a… :)

  19. Na rzeczonym TL-WR740N (nazwę z D spotkałem tylko w związku z tym newsem) login i hasło shella się zgadzają, ale najpierw wyskakuje www-authenticate, w którym trzeba już podać hasło do samego panelu. Przynajmniej powietrzem, po kablu nie sprawdziłem jeszcze :P
    Firmware 3.12.11 Build 120320, ze strony producenta.
    Prowizorycznie można się ochronić wyłączając Remote Management i przede wszystkim zmieniając domyślne admin/admin na coś lepszego.

  20. Na TL-MR3220 działa, ale trzeba najpierw podać poprawny login i pass na www-auth. Przy próbie obejścia tak jak tpro opowiada stronka się ładuje ale nie działa. Tyle dobrego że mam w pytę długie hasło i remote management niedostępny (port 80 wręcz mam przekierowany z zewnątrz na http na 1 z kompów) ;-).

    Swoją drogą thx za info o OpenWRT, myślałem, że to tylko na routerkach Linksysa chodzi.

  21. Firmware Version:3.12.11 Build 110915 Rel.40896n

    czysty

  22. WR740N
    3.12.4 Build 100910 Rel.57694n

    login i hasło poprawne, konsola działa

  23. A passwd, albo passwd osteam na tym shellu działa? :)

  24. Czy to może pomóc mi się zabezpieczyć? http://i.imgur.com/zlteE.png

  25. Ja zaraz po zakupie WR740N nałożyłem kompleksowego ‘pacza’ > DD-WRT i spokój.

  26. biorąc pod uwagę, że firma tp-link ma chinskie dotacje rządowe do produkcji to nie jest to .. jak mówią klasycy:
    its not bug, its a future.

    • chyba feature :D

  27. Firmware Version: 3.4.5 Build 081110 Rel.43717n
    Hardware Version: WR841N v3 00000000

    Co ciekawe u mnie wygląda to tak: http://i.imgur.com/EDAQW.jpg
    Żadnego logowania ani nic…

  28. Biedronkowy TD-W8950ND odporny.

  29. Czy wszystkie routery posiadaja shella ?

  30. u mnie to tez dziala – ale po pierwsze – tylko z lanu (remote management zablokowany) po drugie wcale nie jest tak pieknie – ruchu napewno nie da sie wylapac tedy – dysk 100% uzyty, nie ma zadnego toolsetu zeby cos zgrac na/z routera, conajwyzej mozna routing pomieszac, firewalla i shutnac interfejsy. nic kreatywnego zrobic sie nie da….

  31. Kolejny sprzetowy backdoor. Oczywiscie przypadek.

  32. 4.7.11 Build 101102 Rel.60376n
    WR340G v3 081520C2
    nie dziala : P
    ps bartosz feature nie future : P

  33. WR1043ND v1
    3.13.10 Build 120210 Rel.62735n
    oraz
    WA901N v2
    3.12.6 Build 110214 Rel.33012n

    link i hasła do konsoli działają, ale najpierw trzeba się zalogować na swoje normalne dane do panelu. Z zewnątrz nie da się dostać :)

  34. Po zakupie swojego ToiletPaper-Linka od razu wgralem mu wlasny firmware oparty na linuksie. Korporacyjne malpy potrafia robic w takich sprzetach jedynie dziury.

  35. TL-WA701N 3.12.6 – działa po zalogowaniu

  36. MR 3020 3.12.11 Build 111128 Rel.34725n
    WR 740N 3.12.4 Build 100910 Rel.57694n

    Działa wyłącznie po zalogowaniu się najpierw loginem i hasłem do strony administracyjnej. Bez tego nic nie można zrobić. Oczywiście od dawna nie mam tam tradycyjnego admin/admin… Zarządzanie z WAN-a na szczęście domyślnie wyłączone, a z lokalnej musiałby wejść z kablem do mieszkania, albo przełamać WPA-2…

  37. Zabawne,
    na 1043 po wpisaniu adresu prosi o login i pass .. naciskasz esc, wyświetla konsole wpisujesz dane z początku posta i bangla.

    Ech czytając co raz takie newsy słabo się czasem robi.

  38. hmmm
    w bylej robocie zauważyłem z kumplem że wiele urządzeń planeta jest bliźniaczo podobnych do TP-Link , ciekawe czy istnieje jakiś bliźniak do tego :] i czy też by zadziałało :]

  39. WR340G pokazuje Login Incorrect, po zagłębieniu w źródło jednak widać, iż nie ma pliku z shellem.

  40. Buuu, ja też bym chciał mieć konolę *nixową w routerku… :) (zabezpieczenie pewnie by się jakieś dało zrobić)

  41. TD-W8960N nic się nie pokazuje po wpisaniu adresu (tak, podałem IP routera). Kiedyś próbowałem wgrać jakieś otwarte oprogramowanie, z ciekawości klikam na ten OpenWRT, patrzę a tu jest mój router! Ale klikam, a pliku nie nie da się pobrać, bo nie znaleziono. ;/

  42. Zaczynam się obawiać o swojego TL-WR340G :D Jak to w końcu z nim jest?

  43. Na TD-W8901G wydaje się że nie ma w backdoora.

  44. TL-WR340G – nie działa.

  45. Widze że komuś tam weszła konsola, a soft zaktualizowany?

  46. dlatego wole sprzet z zamknietym oprogramowaniem, przenajmniej wiem ze jak cos sknocone to nie ma do tego dostepu “pol swiata”

    • Chyba sam nie wierzysz w to co napisałeś ;-D. A jeśli wierzysz to .

  47. Dzięki za artykuł, nie miałem pojęcia, że ktoś się zajmuje produkcją alternatywnego oprogramowania do routerów :D
    Od razu wymieniłem i sentencja przytoczona w artykule tj.: “ale uwaga! jest szansa, że nie będziecie już chcieli wracać na oryginalny firmware od producenta ;)” sprawdziła się :-)
    OpenWRT dało mi dużo więcej możliwości i wreszcie! win7 i ubunciak zaczęły się widzieć w workgroupie, nawet można ustalić dowolne Hostname w routerze, które zastąpi oryginalne. Zajebiaszczy <3
    Dziękować dziękować :D

    P.S. Były drobne problemy bo OpenWRT dla TL-WR741N nie ma wbudowanego webUI a lista poleceń jest dość ograniczona. Jednak jak to bywa w przypadku otwarto-źródłowego softu wujek google przekierował na odpowiednie fora, a później to już jak z płatka :-)

  48. Router WR740N
    3.11.1 Build 100312 Rel.42991n

    Shell jest.
    Hasło i login nie działa.

  49. na TP Linku 1043ND Gargoyle to chyba jestem bezpieczny?

    • Pokusiłbym się o stwierdzenie, że na TP Linku 1043ND Gargoyle _ten_ błąd Ciebie nie dotyczy. ;-)

  50. Tak swoją drogą to zastanawiam się, jak w ogóle można kupować routery tp-linka. Miałem kiedyś (krótko) i wystarczyło. Ciągle albo się resetował, albo wyłączał dhcp i musiałem wszystkie sprzęty podpięte pod wifi konfigurować na sztywno. Po przejściu na netgeara dopiero się to uspokoiło i chyba tylko netgear i linksys są warte uwagi. Przynajmniej według mnie.

  51. Głupio się chwalić ale u mnie nadal aktualne i działa :|

  52. Mam pytanie koledzy, chciałem sobie wifi w domu postawic i wyskoczył komunikat ze dostęp do internetu zablokowany po podłączeniu routera, można to jakoś ominąć? Sieć osiedlowa.
    Pewnie provider blokuje dostęp przez router, jak to ominąć?

  53. […] tajnym hasłem serwisowym — to oznacza, że część z rejestratorów kamer monitoringu, podobnie jak routery Wi-Fi, posiada swoistego rodzaju […]

Odpowiadasz na komentarz Adam

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: