Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
475 lecturas y 26 respuestas
  • Portada el

    12

    Descubierto un backdoor en los routers Dlink

    Al descompilar un firmware descargado de la web de Dlink y reconstruir la función alpha_auth_check, el responsable de la web devttys0.com se ha encontrado con una sorpresa.

    Y es que la función, que en principio está encargada de comprobar el usuario y clave para autorizar el acceso a la interfaz de administración, devuelve siempre OK si el user-agent del navegador coincide con la cadena de texto "xmlset_roodkcableoj28840ybtide".

    Modificar el user agent del navegador es algo muy sencillo. En firefox simplemente hay que acceder a about:config y crear la entrada general.useragent.override.

    Se trata de un backdoor en toda regla que deja las puertas de los routers Dlink afectados abiertas de par en par. Además, lleva la firma de su autor al invertir la cadena: "edit by 048882 joel backdoor".

    www.devttys0.com/2013/10/reverse-enginee … nk-backdoor/

    Este tema lleva más de 6 meses inactivo. Es recomendable que abras un nuevo tema para retomar la conversación.
    1
    • BocaDePez BocaDePez
      6

      Perdonarme el off-topic, ya veo que no es el único :) Quiero…

      Perdonarme el off-topic, ya veo que no es el único :) Quiero comprar un NAS D-Link pero

      solamente he visto los siguientes distribuidores: PCComponentes y Pixmania. Alguien sabe

      de otro distribuidor/tienda donde poderlo comprar? Gracias.

    • Yo he probado en un D-Link 524T, de los que daba Ya.com hace…

      Yo he probado en un D-Link 524T, de los que daba Ya.com hace años, con firmware V3.00B01T01.SP.20060717 y no tiene esta puerta trasera usando ese user-agent, por si a alguien le puede servir de ayuda.

      Firmware 3.0 no vulnerable.

      Lo que no quiere decir, como dice el otro usuario, que no tenga otra puerta trasera.

      Ahora bien, salvo que dejemos la interfaz web con acceso a internet (yo no lo hago), el problema se puede mitigar con una regla de firewall que impida el acceso web al router en la IP local salvo cuando lo vayamos a utilizar.

        • BocaDePez BocaDePez
          12

          Parece ser que está en la antigua interfaz con firmware 3.04…

          Parece ser que está en la antigua interfaz con firmware 3.04

          Y no en las posteriores 3.10 que tienen esta pinta:

          Yo he probado con un router antiguo D-Link que lleva esta nueva interfaz, y no le afecta ese backdoor (lo que no quiere decir que exista otro)

          >wget -d -U xmlset_roodkcableoj28840ybtide router/
          Setting --user-agent (useragent) to xmlset_roodkcableoj28840ybtide
          DEBUG output created by Wget 1.11.4 on Windows-MSVC.
          
          --2013-10-14 14:56:38--  router/
          Connecting to router:80... seconds 0.00, connected.
          Created socket 360.
          Releasing 0x02211090 (new refcount 1).
          
          ---request begin---
          GET / HTTP/1.0
          User-Agent: xmlset_roodkcableoj28840ybtide
          Accept: */*
          Host: router
          Connection: Keep-Alive
          
          ---request end---
          HTTP request sent, awaiting response...
          ---response begin---
          HTTP/1.0 401 Unauthorized
          Server:
          Content-Type: text/html
          Date: Mon, 14 Oct 2013 14:56:33 GMT
          Last-Modified: Mon, 14 Oct 2013 14:56:33 GMT
          Accept-Ranges: bytes
          Connection: close
          WWW-Authenticate: Basic realm="DSL-G624T"
          
          ---response end---
          401 Unauthorized
          Closed fd 360
          Authorization failed.
          
    • BocaDePez BocaDePez
      6

      uh, a alguien se le va a caer el pelo... o la compañía lo…

      uh, a alguien se le va a caer el pelo... o la compañía lo sabía y acaban de cazarla, o no lo sabía, en cuyo caso se le caerá el pelo al supervisor que en vez de revisar el código lo dio de paso sin mirar, o bien no tienen supervisores en cuyo caso son un cachondeo de empresa. Mal, sea cual sea el caso, lo que no habrá en ese código...

      • BocaDePez BocaDePez
        6

        Ni en ese codigo, ni en el de tu movil, ni en el de los…

        Ni en ese codigo, ni en el de tu movil, ni en el de los coches, ni en el codigo de TODO el software que circula por el planeta (incluido GNU). Se mete mierda en casi todo.

      • BocaDePez BocaDePez
        6

        Te vayas a creer que es una calidad distinta a la del resto…

        Te vayas a creer que es una calidad distinta a la del resto de routers del mercado.

      • Eso está bien si alguien se molesta en comprobar el código y…

        Eso está bien si alguien se molesta en comprobar el código y compilarlo para evitar sustos. Si al final el firmware "libre" lo bajamos ya compiladito (aderezado con "vayaustéasaberquemas") de una página que no conocemos y que lo distribuye por "torrent", estamos igual o peor... :D

    • BocaDePez BocaDePez
      6

      ¿Y la compañía lo sabe? Es decir, ¿es algo hecho por una…

      ¿Y la compañía lo sabe? Es decir, ¿es algo hecho por una persona concreta para luego obtener beneficio, o es algo que ha hecho la compañía de forma generalizada? ¿Son todos los routers?

      El código de seguridad que me ha salido es WSA. Casi casi por los pelos, no fue NSA. :D

      • BocaDePez BocaDePez
        12

        Claro que lo sabe la compañia, almara de cantaro... Te…

        Claro que lo sabe la compañia, almara de cantaro...

        Te contare que hace años trabaje en Telefonica, y en varios proyectos de los clientes metian un backdoor... asi por la jeta, porque nunca cumplian los plazos contratados, entonces le daban al cliente lo que habia y mientras este lo probaba y se daba cuenta de que realmente no funcionaba, ese tiempo lo usaban para acabarlo y luego colarselo al cliente sin que se enterara, y el cliente no se entera claro esta.

        Desgraciadamente nadie hizo caso de mis quejas entonces ni ahora... porque a nadie le interesa la verdad ni remediar situaciones asi.

        Estais muy equivocados si pensais que las empresas "cuidan" a sus clientes: las empresas cuidan a sus inversores, por cualquier via y medio. Si esto implica poner un "backdoor" en un producto, se pone; si implica meterle un palo por el culo al cliente, se le mete... asi de simple. Y luego diran que es politica de empresa, que es comercio libre, que si el capitalismo...

        • Viendo el "update" que ha hecho el autor, parece ser que esta…

          Viendo el "update" que ha hecho el autor, parece ser que esta última vez se ha metido ese código por ser unos chapuzas, no por actualizarlo a distancia, ni para la NSA:

          UPDATE:

          The ever neighborly Travis Goodspeed pointed out that this backdoor is used by the /bin/xmlsetc binary in the D-Link firmware. After some grepping, I found several binaries that appear to use xmlsetc to automatically re-configure the device's settings (example: dynamic DNS). My guess is that the developers realized that some programs/services needed to be able to change the device's settings automatically; realizing that the web server already had all the code to change these settings, they decided to just send requests to the web server whenever they needed to change something. The only problem was that the web server required a username and password, which the end user could change. Then, in a eureka moment, Joel jumped up and said, "Don't worry, for I have a cunning plan!".

          Also, several people have reported in the comments that some versions of the DIR-615 are also affected, including those distributed by Virgin Mobile. I have not yet verified this, but it seems quite reasonable.

          En fin, que ha sido un atajo que han dejado ahí, que van a tener que cambiar en todos sus routers afectados y que les va a traer unos quebraderos de cabeza cojonudos.

            • A no ser que quieran dejar a los antiguos usuarios a la…

              A no ser que quieran dejar a los antiguos usuarios a la intemperie... yo diría que les tendrían que ofrecer un firmware actualizado de todas formas, ¿no?

              Además, el DIR-615 sigue siendo bastante vendido en la actualidad.

        • BocaDePez BocaDePez
          6

          Yo cuando trabajaba en Telefónica, tenía órdenes directas de…

          Yo cuando trabajaba en Telefónica, tenía órdenes directas de mi superior de engañar al cliente, diciendo que se podía realizar la moto que le vendió el comercial, aunque los técnicos supiésemos que era imposible. Y no estamos hablando de usuarios de ADSL, estamos hablando de proyectos de cifras de 7 dígitos para empresas del Ibex 35.