Исследователи "Лаборатории Касперского" обнаружили несколько уязвимостей в прошивке роутеров D-Link DIR-620. Проблема заключается в том, что данная прошивка широко распространена, поскольку некий крупный российский интернет-провайдер предоставляет эти устройства своим абонентам. При этом домашние роутеры находятся за NAT провайдера и не попадают в статистику.
"В последних версиях прошивки были обнаружены прописанные по умолчанию учетные данные (CVE-2018-6213), эксплуатация которых позволяет злоумышленнику без авторизации получить привилегированный доступ к прошивке и извлечь из нее чувствительную информацию, например, файлы конфигурации с паролями в открытом виде. Уязвимый веб-интерфейс позволяет злоумышленнику без авторизации выполнить произвольный код JavaScript в пользовательском браузере и произвольные команды в операционной системе проблемного маршрутизатора", – отмечают эксперты лаборатории.
Проблемы были обнаружены еще в прошивке версии 1.0.37, но некоторые из проблем всплывали и в остальных версиях прошивок:
"Я скачал прошивку и извлек файловую систему. Большинство прошивок на базе Linux чаще всего содержат BusyBox – программный продукт, содержащий урезанные Unix-утилиты для встраиваемых систем. Зная, какие утилиты входят в этот набор по умолчанию, достаточно легко распознать проприетарные исполняемые файлы, которые не входят в оригинальный набор инструментов BusyBox и в которые, вероятно, были внесены изменения с учетом нужд провайдера.
Я извлек строки из исполняемого файла веб-сервера (httpd), и тут же мне в глаза бросилась строка "anonymous". Я посмотрел функцию, в которой используется эта строка", - рассказал специалист "Лаборатории Касперского".
Администратор не может изменить эти данные привилегированной "учетки". Внедрение же команд ОС (CVE-2018-6211) возможно из-за некорректной обработки следующего параметра при пользовательском вводе (уязвимость обнаружена в прошивке версии 1.0.3):
/index.cgi?<…>&res_buf
Но в роутерах нашли и еще пару неприятных багов. Проблема с идентификатором CVE-2018-6210 представляет собой заданные по умолчанию учетные данные для Telnet. С помощью некоторых команд злоумышленник может извлечь учетные данные и получить административный доступ к маршрутизатору.
Кроме этого, эксперты обнаружили уязвимость проверки пользовательских данных (отраженные XSS). В интерфейсе администратора есть поле ввода Quick search ("Быстрый поиск"). Это поле позволяет реализовать атаку межсайтового скриптинга (XSS), которая становится возможной в результате отсутствия фильтрации специальных символов в пользовательском вводе, а также некорректной обработки объекта XMLHttpRequest. Эта проблема была обнаружена в прошивке версии 1.3.3, но также присутствует и в других версиях.
Представители D-Link в ответ на запрос исследователей заявили, что данная модель производителем больше не поддерживается, поэтому обновлений с исправлением уязвимостей ждать не стоит.
Специалисты "Лаборатории Касперского" рекомендуют пользователям уязвимых роутеров предпринять следующие действия:
Чуть более подробно разобрал тут https://wi-cat.ru/others/d-link-bugs/
Эка быстро надуло.
1. как бэкдор не назови - это бэкдор
2. когда железу EOL не объяви - бэкдором быть не перестанет
3. тестирование оператора == обоснование для наличия дыры на которую до кучи повлиять нельзя т.к. жёстко вкомпилена?
4. не смешите мои тапочки, современные требования федеральных операторов, вместо того что бы тут оправдываться занялись бы лучше делом http://weburg.net/forums/planeta/support/135695 А то ваш высокоКаКчественный софт себе в ногу стреляет при простом включении ipv6. Даже не смешно.
5. даже на обсуждаемй дир 620 либо тянули наш софт, в т.ч. в нарушение соглашений, либо софт Zyxel (после чего оный принял меры). Что бы не быть голословным http://dir620d1.kazarova.ru/ тоже самое и по A и т.д. https://www.google.ru/search?q=dir620+прошивка+zyxel&oq=dir620+прошивка+zyxel&aqs=chrome..69i57j0l5.8798j0j4&sourceid=chrome&ie=UTF-8 или https://www.google.ru/search?newwindow=1&ei=cnYNW4WNHsWzsQHwiJfoCQ&q=dir620+прошивка+wive&oq=dir620+прошивка+wive&gs_l=psy-ab.3...141629.142689.0.142989.6.6.0.0.0.0.220.737.0j4j1.5.0....0...1c.1.64.psy-ab..1.4.584...35i39k1j0i22i30k1j0i13i5i30k1j0i8i13i30k1j0i13k1j0i13i30k1j33i21k1j33i160k1.0.vwbH3YrxKtY . И не просто так, а потому что http://forum.dlink.ru/viewtopic.php?f=3&t=134579&start=2610#p953741 . Так что не надо о качестве. Не смешно даже.
6. КаКчество вашего софта можно оценить не поднимая попы, проанализировав форумы начиная с вашего. Да хоть отсюда http://forum.dlink.ru/viewtopic.php?f=3&t=134579&start=2610#p953741 Общее впечатление как в простоквашино: "то лапы ломит, то хвост отваливается".
7. Не смотря на то, что кастомизация была выполнена под оператора и типа это его заказ - дырка. Кто вам поверит что в другом ПО оных нет если даже в софте от AplphaNetworks не раз выявляли бэкдоры?
В общем ФИ 3 раза.
И это не так называемый, а вполне реальный бэкдор, ибо:
1. не документирован и не доведено его наличие до конечного пользователя, на месте которых я бы вам впаял бы коллективный иск. Благо и статьи у нас за подобное творчество имеются
2. нет возможности отключения
3. раскрыто третьей стороной, учитывая не профильность касперского по таким делам, почти уверен что кушхацкеры давно построили на ваших железках себе уютненький ботнетик
Данная ситуация говорит о нечистоплотности компании Длинк, и бросает тень на всех производителей SOHO устройств. В т.ч. на Wi-Cat.
Вы, как серьёзная компания, вместо оправданий могли просто предоставить сборку для обновления с выкушенной какахой. Час работы инжерена и вопрос бы был бы закрыт, хотя осадочек теперь безусловно останется.
А если оно только в "спец прошивке", то опубликовать развёрнутый ответ с рекомендациями по смене ПО у себя на ресурсе, описать ситуацию и извиниться. Т.к. вас ничего из вышесказанного не оправдывает.
Желаю удачи.
Ну и опять враньё конечно.
Перечисленные версии:
Лезем к вам на FTP и видим http://ftp.dlink.ru/pub/Router/DIR-620/Firmware/RevG/20131127_1220_DIR_620BALLWINS_2.0.22_sdk-master.bin
Собственно откуда Касперский, как я понимаю, её для препарации и взял (как и остальные). Так что вполне публичная версия.
Цитирую представителя касперского:
Думаю не надо говорить, что скачал он её у вас, а не бегал в поисках программатора?
И судя по упоминанию 2.0.22 то DIR620revG так же с дырой. А он явно не 2 года назад был снят с производства.
Мне вот лень, хотя не долго вытянуть оставшиеся бинари с вашего FTP и тупо погрепать. Может кто-нить из "благодарных" пользователей это сделает.
P.S. Не стесняйтесь, перечислите куда вы ещё какие бэкдоры с благими намерениями воткнули? Не был бы я так ленив, организовал бы юзверей для реализации их прав через суд и занялся бы анализом вашего творчества чуть более детально чем Касперский. Уверен с таким подходом каждую 3ю железку с лого D-link можно считать дырявой, если не каждую первую.
Ну вот тут чел глянул собсно 2.0.22 выше цитирую.
Что-то я не понял, дефолтный фиксированный пароль в открытом виде в прошивке на публичном FTP?
@sfstudio , как-же, все-таки вы Длинк... не любите. ;-) Может, таки не все настолько печально?
Зы: Доставило про рязанских разработчиков. Лично у меня сложилось мнение, что у них для разных устройств (и даже версии для одного) пишут вообще разные команды. Уж больно грабли разномастные.
Ззы: Пользователем и поклонником SOHO железа Dlink не являюсь. Просто уж больно Вы их агрессивно атакуете. Хотя и заслуженно.