Backdoor in alcuni apparati D-Link

Articolo originariamente pubblicato su FacileWiFi nell’Ottobre 2013

http://www.facilewifi.eu/viewtopic.php?f=7&t=3297

Dall’analisi del firmware di alcuni apparati D-Link è stata individuata una backdoor che permette di entrare nell’amministrazione via Web dell’apparato.

Basta mettere come nome utente xmlset_roodkcableoj28840ybtide senza alcuna password e siete dentro.

Il secondo pezzo del nome utente letto al contrario diventa “edit by 04882 joel backdoor”, per cui è perfettamente chiaro di cosa si tratta.

Ulteriori analisi hanno rivelato che diversi binari nel firmware, che modificano file di configurazione, fanno uso di questa backdoor per cui l’autore ha avanzato l’ipotesi che l’origine di tutto sia stato il fatto che poiché questi binari dovevano modificare delle configurazioni e poiché nell’interfaccia web c’erano già le funzioni per farlo, allora era più comodo sfruttare queste funzioni invece che scrivere del codice, magari per aumentare le portabilità aggiungo io. Siccome però l’interfaccia web richiedeva utente e password, che l’utente poteva poi cambiare, si è creato questo utente, chissà perché senza password. Una password avrebbe complicato le cose un po’ di più o parecchio di più se si implementa lo schema dell’ultimo firmware dell’AGPF, il 4.7.0, la cui password di admin che ad oggi 12016 sembra che non sia stata ancora scoperta.

L’autore ha trovato questa backdoor nel modello DIR-100 ma pare che sia presente anche in altri dispositivi.

L’articolo originale in inglese è qui, interessante per il tipo di analisi che è stata fatta. http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

Facendo una ricerca con Google ha trovato un forum russo che ne parla

http://forum.codenet.ru/q58748/%D0%BF%D0%B5%D1%80%D0%B5%D0%B1%D0%BE%D1%80+%D0%BB%D0%BE%D0%B3%D0%B8%D0%BD%D0%BE%D0%B2+-+%D0%B4%D0%B0%D0%B9%D1%82%D0%B5+%D1%81%D0%BE%D0%B2%D0%B5%D1%82

nell’ultimo post in effetti c’è xmlset_roodkcableoj28840ybtide ma nessuno da allora sembra averla provata.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: