В роутерах D-Link обнаружен бэкдор

Исследователь в области безопасности Крейг Хеффнер из Tactical Networking Solutions обнаружил бэкдор в различных моделях роутеров D-Link, который позволяет осуществить полный доступ к панели управления удалённого устройства.

Когда Хеффнер анализировал файл прошивки одного из роутеров компании он обнаружил, что в нём есть прописанная система авторизации. В общем, изменив строку пользовательского агента в браузере на «xmlset_roodkcableoj28840ybtide», вы можете получить полный доступ к вэб интерфейсу маршрутизатора без необходимости ввода имени пользователя и пароля.

Примечательно, что данный бэкдор не является ошибкой программирования. В коде прошивки, после написанного бэкдора, идёт комментарий «отредактировано 04882 joel backdoor». Скорее всего это значит, что программист компании по имени Джоель преднамеренно включил в прошивку возможность несанкционированного доступа.

Роутер D-Link DI-524

«Моё предположение таково, что разработчики поняли, что некоторые программы/службы нуждаются в возможности автоматически менять настройки устройств», — написал в отчёте Хеффнер. В результате анализа в компании узнали, что сервер уже имеет всё необходимое для реализации этой задумки, причём неважно, где находится сервер. «Единственной проблемой, — по словам автора, — было требование ввода логина и пароля сервера, которые конечный пользователь мог поменять. И потом в момент просветления Джоель подпрыгнул и сказал: „Не беспокойтесь, у меня есть хитрый план!“».

Данный код был обнаружен во множестве старых моделей роутеров D-Link, включая DIR-100, DI-524 и DI-524UP, DI-604S, DI-604UP и DI-604+, а также TM-G5240. Кроме этого уязвимость содержится и в массе роутеров, основанных на аппаратном обеспечении D-Link, но производимых третьими компаниями. Также уязвимой считается и модель DIR-615, продаваемая некоторыми провайдерами под собственными брендами.

Новые роутеры также могут иметь подобные бэкдоры, однако их триггеры работают по-иному, а потому, они пока не обнаружены.