Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

ADSL/VDSL

Descubierto un backdoor en los routers Dlink

Josh
1

Al descompilar un firmware descargado de la web de Dlink y reconstruir la función alpha_auth_check, el responsable de la web devttys0.com se ha encontrado con una sorpresa.

Y es que la función, que en principio está encargada de comprobar el usuario y clave para autorizar el acceso a la interfaz de administración, devuelve siempre OK si el user-agent del navegador coincide con la cadena de texto "xmlset_roodkcableoj28840ybtide".

Modificar el user agent del navegador es algo muy sencillo. En firefox simplemente hay que acceder a about:config y crear la entrada general.useragent.override.

Se trata de un backdoor en toda regla que deja las puertas de los routers Dlink afectados abiertas de par en par. Además, lleva la firma de su autor al invertir la cadena: "edit by 048882 joel backdoor".

devttys0.com/2013/10/reverse-engineering…nk-backdoor/

BocaDePez
BocaDePez

¿Y la compañía lo sabe? Es decir, ¿es algo hecho por una persona concreta para luego obtener beneficio, o es algo que ha hecho la compañía de forma generalizada? ¿Son todos los routers?

El código de seguridad que me ha salido es WSA. Casi casi por los pelos, no fue NSA. :D

🗨️ 8
BocaDePez
BocaDePez
1

Claro que lo sabe la compañia, almara de cantaro...

Te contare que hace años trabaje en Telefonica, y en varios proyectos de los clientes metian un backdoor... asi por la jeta, porque nunca cumplian los plazos contratados, entonces le daban al cliente lo que habia y mientras este lo probaba y se daba cuenta de que realmente no funcionaba, ese tiempo lo usaban para acabarlo y luego colarselo al cliente sin que se enterara, y el cliente no se entera claro esta.

Desgraciadamente nadie hizo caso de mis quejas entonces ni ahora... porque a nadie le interesa la verdad ni remediar situaciones asi.

Estais muy equivocados si pensais que las empresas "cuidan" a sus clientes: las empresas cuidan a sus inversores, por cualquier via y medio. Si esto implica poner un "backdoor" en un producto, se pone; si implica meterle un palo por el culo al cliente, se le mete... asi de simple. Y luego diran que es politica de empresa, que es comercio libre, que si el capitalismo...

🗨️ 7
BocaDePez
BocaDePez
0

Yo cuando trabajaba en Telefónica, tenía órdenes directas de mi superior de engañar al cliente, diciendo que se podía realizar la moto que le vendió el comercial, aunque los técnicos supiésemos que era imposible. Y no estamos hablando de usuarios de ADSL, estamos hablando de proyectos de cifras de 7 dígitos para empresas del Ibex 35.

🗨️ 3
BocaDePez
BocaDePez

Claro, claro...

BocaDePez
BocaDePez

Cuando estaban las pesetas supongo xD

🗨️ 1
BocaDePez
BocaDePez
heffeque

Viendo el "update" que ha hecho el autor, parece ser que esta última vez se ha metido ese código por ser unos chapuzas, no por actualizarlo a distancia, ni para la NSA:

UPDATE:

The ever neighborly Travis Goodspeed pointed out that this backdoor is used by the /bin/xmlsetc binary in the D-Link firmware. After some grepping, I found several binaries that appear to use xmlsetc to automatically re-configure the device's settings (example: dynamic DNS). My guess is that the developers realized that some programs/services needed to be able to change the device's settings automatically; realizing that the web server already had all the code to change these settings, they decided to just send requests to the web server whenever they needed to change something. The only problem was that the web server required a username and password, which the end user could change. Then, in a eureka moment, Joel jumped up and said, "Don't worry, for I have a cunning plan!".

Also, several people have reported in the comments that some versions of the DIR-615 are also affected, including those distributed by Virgin Mobile. I have not yet verified this, but it seems quite reasonable.

En fin, que ha sido un atajo que han dejado ahí, que van a tener que cambiar en todos sus routers afectados y que les va a traer unos quebraderos de cabeza cojonudos.

🗨️ 2
BocaDePez
BocaDePez

No estoy seguro pero no parece que muchos de esos modelos sigan siquiera a la venta actualmente.

🗨️ 1
BocaDePez
BocaDePez
1

Routers con soft. libre por favor.

🗨️ 1
pegial

Eso está bien si alguien se molesta en comprobar el código y compilarlo para evitar sustos. Si al final el firmware "libre" lo bajamos ya compiladito (aderezado con "vayaustéasaberquemas") de una página que no conocemos y que lo distribuye por "torrent", estamos igual o peor... :D

BocaDePez
BocaDePez

uh, a alguien se le va a caer el pelo... o la compañía lo sabía y acaban de cazarla, o no lo sabía, en cuyo caso se le caerá el pelo al supervisor que en vez de revisar el código lo dio de paso sin mirar, o bien no tienen supervisores en cuyo caso son un cachondeo de empresa. Mal, sea cual sea el caso, lo que no habrá en ese código...

🗨️ 2
BocaDePez
BocaDePez

Te vayas a creer que es una calidad distinta a la del resto de routers del mercado.

BocaDePez
BocaDePez

Ni en ese codigo, ni en el de tu movil, ni en el de los coches, ni en el codigo de TODO el software que circula por el planeta (incluido GNU). Se mete mierda en casi todo.

Freemind

Ahora volvera Linus y dira que los de la NSA son unos ignorantes :D

BocaDePez
BocaDePez

¿Alguien lo ha probado? Lo he probado, pero no funciona. ¿Funciona solamente desde la LAN? Eso no lo he probado, porque el router está lejos.

🗨️ 3
BocaDePez
BocaDePez

solo funciona en ciertos modelos de dlink

🗨️ 2
BocaDePez
BocaDePez
1

Parece ser que está en la antigua interfaz con firmware 3.04

Imagen original en http://portforward.com/english/routers/port_forwarding/Dlink/DSL-G624T/DSL-G624T5.jpg

Y no en las posteriores 3.10 que tienen esta pinta:

Yo he probado con un router antiguo D-Link que lleva esta nueva interfaz, y no le afecta ese backdoor (lo que no quiere decir que exista otro)

>wget -d -U xmlset_roodkcableoj28840ybtiderouter/
Setting --user-agent (useragent) to xmlset_roodkcableoj28840ybtide
DEBUG output created by Wget 1.11.4 on Windows-MSVC.

--2013-10-14 14:56:38--router/
Connecting to router:80... seconds 0.00, connected.
Created socket 360.
Releasing 0x02211090 (new refcount 1).

---request begin---
GET / HTTP/1.0
User-Agent: xmlset_roodkcableoj28840ybtide
Accept: */*
Host: router
Connection: Keep-Alive

---request end---
HTTP request sent, awaiting response...
---response begin---
HTTP/1.0 401 Unauthorized
Server:
Content-Type: text/html
Date: Mon, 14 Oct 2013 14:56:33 GMT
Last-Modified: Mon, 14 Oct 2013 14:56:33 GMT
Accept-Ranges: bytes
Connection: close
WWW-Authenticate: Basic realm="DSL-G624T"

---response end---
401 Unauthorized
Closed fd 360
Authorization failed.
🗨️ 1
vukits

menos mal que tenemos a Openwrt y Routertech, que si no :)

NetSpot

Yo he probado en un D-Link 524T, de los que daba Ya.com hace años, con firmware V3.00B01T01.SP.20060717 y no tiene esta puerta trasera usando ese user-agent, por si a alguien le puede servir de ayuda.

Firmware 3.0 no vulnerable.

Lo que no quiere decir, como dice el otro usuario, que no tenga otra puerta trasera.

Ahora bien, salvo que dejemos la interfaz web con acceso a internet (yo no lo hago), el problema se puede mitigar con una regla de firewall que impida el acceso web al router en la IP local salvo cuando lo vayamos a utilizar.

BocaDePez
BocaDePez
-1

D-Link siempre ha sido caracterizado por ser un bodrio en todo.

Nada nuevo bajo el sol en referencia a esta marca.

🗨️ 2
BocaDePez
BocaDePez

Vaya fake has colgado amigo... :D

🗨️ 1
BocaDePez
BocaDePez

vaya y yo que melo habia creido, gracias por la aclaracion

NetSpot

Firmwares nuevos y fechas de salida de los firmwares si todavía no están disponibles.

eu.dlink.com/uk/en/support/security

Josh, actualiza :)

P.S.: al parecer, como comprobé con el mío, el D-Link 524T, no está afectado.

BocaDePez
BocaDePez

Perdonarme el off-topic, ya veo que no es el único :) Quiero comprar un NAS D-Link pero

solamente he visto los siguientes distribuidores: PCComponentes y Pixmania. Alguien sabe

de otro distribuidor/tienda donde poderlo comprar? Gracias.