Backdoor en Routers D-Link.

En este mundillo de la informática, más concretamente al de la (in)seguridad podemos encontrar situaciones de todo tipo. La intranquilidad en la que día a día estamos expuestos debido a las vulnerabilidades y los ataques nos hace siempre estar alerta.

Lo que os traemos hoy, es un fallo intencionado en la programación de un firmware de la marca D-Link,es decir, un backdoor. Una puerta trasera creada a propósito en el que nuestro usuario y nuestra password extremadamente no sirve para nada, ya que esta puerta trasera hace que sea inútil.

 Concretamente se ha encontrado en una actualización del firmware del router D-Link DIR-100. La ha localizado Craig, usuario del sitio devttys0.com (original nombre), que buscando aquí y allá descubrió el backdoor.

No solo el modelo DIR-100 estaría afectado sino DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ y TM-G5240.

dlink

  ¿Cómo lo descubrió?

Buscando dicho usuario, cayó en la cuenta de que una empresa llamada, Alphanetwortks era la que supuestamente estaba creando el firmware para el router. En principio debían estar relacionadas ambas empresas (D-Link y Alphanetworks). A partir de ahí, llegando más al fondo, vio que muchas funciones empezaban por “alpha_” lo cual le hizo pensar que ahí podría haber algo interesante.

Se topó con la función “alpha_auth_check” que realizaba una comprobación de si el usuario estaba autorizado para ejecutar funciones de administrador del router, es decir si estaba autorizado.

Hasta aquí todo normal, pero desgranando el código se dio de bruces con esta línea:

strcmp(request->user_agent, «xmlset_roodkcableoj28840ybtide»

“xmlset_roodkcableoj28840ybtide “ que leído al revés dice “ editby04882joelbackdoor_teslmx” ¡total nada! Una puerta trasera, o al menos eso no estaba ahí por que sí.

Viendo a donde apuntaba dicha línea, Craig probó autenticarse como “xmlset_roodkcableoj28840ybtide” consiguiendo saltarse la seguridad del router, accediendo a las funciones de configuración del mismo, solo con esta simple línea.

Esto se traduce en que da igual el usuario o la complejidad de la clave, ya que va integrado en el firmware, y quién se conecte al router mediante tu red o mediante Internet, tiene total operatividad con él. La única forma sería parcheando el firmware.

 Via: http://wireframe.iyogi.com/

Decir que D-Link España no ha tardado en responder ante tal bug, y ha emitido un  pequeño comunicado respondiendo ante tal descubrimiento. Un punto a su favor, ya que como todos sabéis las empresas son muy reacias a reconocer sus “lapsus” y lo que consiguen es que se extiendan los fallos más rápidamente. Por ello, un voto positivo a D-Link 😉

El comunicado oficial de D-Link España dice lo siguiente:

D-Link está trabajando en la publicación de un firmware que solucione este problema y será publicado en breve en la página de soporte oficial. No obstante, hay que aclarar que sólo afecta a estos modelos de routers muy antiguos, ya descatalogados y que, en algunos casos, ni se llegaron a distribuir en España:

 · DIR-100 (comercializado hace 5 años)

· DI-524 (ocho años)

· DI-524UP (ocho años)

· DI-604S (no comercializado)

· DI-604UP (no comercializado)

· DI-604+ (no comercializado) (Alpha device TM-G5240)

 Otra prueba más que no estamos al 100% pero que gracias al trabajo y la curiosidad de miles de personas se corrigen y se advierten de muchísimas vulnerabilidades, bien creadas a posta como esta (tiene toda la pinta) o bien por fallos de programación.

 

Un saludo.