Nowy backdoor w routerach D-linka

Wykryto nowe zagrożenie polegające na umożliwieniu dostępu po http do panelu pozwalającego na logowanie bez hasła.  Problem dotyczy

DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604+
DIR-615
TM-G5240
Oraz w kilku routerach firmy Planex: BRL-04UR, BRL-04CW.

Po ściągnięciu firmware v.13.1 można zauważyć, że obraz zawiera serwer thttpd. Uwagę powinien zwrócić fragment alpha_auth_check. Okazuje się, że po zbadaniu tej funkcji możliwe jest zalogowanie się do panelu administracyjnego na prawach administratora bez konieczności podania hasła. Do tego celu wystarczy ustawić User-Agent przeglądarki na xmlset_roodkcableoj28840ybtide.

Szacuje się, że urządzeń, które są zagrożone jest naprawdę dużo, dlatego warto zwrócić uwagę na kilka elementów.  Jeśli z naszej sieci korzystają również nieznani użytkownicy warto przemyśleć wyłączenie webinterfece-u i przełączenie się na połączenie SSH, przynajmniej do czasu wydania łatki przez TP-linka.

Alternatywnie można podmienić webinterface na inny np. DD-WRT lub Open WRT.