В маршрутизаторах D-Link обнаружен бэкдор

[Georgen]

Группа исследователей обнаружила уязвимость в ряде устройств D-Link , позволяющую получить неаутентифицированный доступ к административным функциям.

Брешь в безопасности позволяет атакующему получить полный контроль над всеми управляемыми пользователем функциями в популярных домашних маршрутизаторах, включая модели DIR-100, DI-524, DI-524UP, DI-604S, DI-604+ и TM-G5240. В статье , опубликованной на сайте /DEV/TTYS0, сообщается о том, что уязвимости также подвержены несколько роутеров Planex, использующих такую же прошивку.

В извлеченной с помощью Binwalk прошивке к D-Link DIR-100 исследователи обнаружили, что для получения доступа требуется изменить заголовок браузера User-Agent на "xmlset_roodkcableoj28840ybtide", после чего роутер не будет запрашивать учетные данные для доступа к web-интерфейсу.

Исследователи /DEV/TTYS0 нашли уязвимость внутри кода, выполняющего простые сравнения строчных данных. В одном из подобных сравнений «в случае совпадения строк функция check_login пропускается, а alpha_auth_check возвращает значение 1, означающее, что аутентификация пройдена успешно».

Некоторые комментаторы сообщили, что им удалось успешно запустить бэкдор против устройств, обнаруженных поисковиком Shodan.

Craig, автор /DEV/TTYS0, сообщает, что бэкдор существует в версии прошивки 1.13 для ряда устройств Dir100-RevA.

На данный момент защиты от уязвимости не существует. Пользователям рекомендуется отключить доступ к административным функциям через WAN-порт.

http://www.securitylab.ru/news/446125.php

[Plague]

в принципе, открывать управление роутером на WAN - моветон де-факто. Но D-Link отожгли конечно

[REPLAY_5]

Длинки всегда славились стабильностью и безопасностью своих устройств %))) Выражение типа "это же д-динк" уже давно вошло в лексикон современной ИТ Индустрии