Avslører hemmelig bakdør i D-link

Mange rutere er åpne for misbruk.

Rutere fra D-link er utstyrt med en bakdør som åpner for misbruk av hvem som helst.
Rutere fra D-link er utstyrt med en bakdør som åpner for misbruk av hvem som helst.
14. okt. 2013 - 09:25

Det er avdekket en hemmelig bakdør i en rekke rutere fra D-link og Planex, som kan gi hvem som helst full kontroll med bredbåndsruteren.

Sikkerhetsforsker Craig Heffner fra Tactical Network Solutions skrev lørdag en kunngjøring der han redegjør for sitt funn.

Følgende modeller fra D-link skal være berørt: DIR-100, D-524, DI-524UP, DI-604S, DI-604UP, DI-604+ og TM-G5240. Det samme gjelder BRL-04UR og BRL-04CW fra Planex.

Dette inkluderer rutere som er solgt i Norge. Listen virker ikke å være uttømmende. Det kan være flere berørte modeller.

Hullet gjør det mulig å omgå innloggingen til utstyrets web-baserte administrasjonskonsoll. En angriper kan endre innstillingene, noe som er et alvorlig sikkerhetsproblem som åpner for misbruk og overvåkning.

Bakdøren er etter alt å dømme bevisst plantet i enhetenes fastvare. Ifølge Heffner er det tilstrekkelig å endre user-agent til «xmlset_roodkcableoj28840ybtide», så får man full tilgang uten å måtte logge seg inn med brukernavn og passord.

(User-agent er ikke noe hokus pokus. Det er normalt en tekststreng som alle nettlesere sender til webservere, med visse tekniske detaljer som gjør det mulig for serveren å gjenkjenne nettleseren.)

Deler av koden gir mer mening hvis den leses baklengs. Da får man «Edit by Joel 04882 backdoor». Hvem denne Joel er vites ikke, men det kan være vedkommende som i sin tid plantet bakdøren.

Det må ha skjedd for flere år siden. Heffner oppdaget ved hjelp av et enkelt Google-søk at den samme koden ble diskutert i et russisk hackerforum allerede i januar 2010.

Sikkerhetsforskeren har brukt en spesiell søkemotor kalt Shodan for å avdekke hvilke rutermodeller som er sårbare.

Ifølge ITnews har Heffner ikke kontaktet utstyrsprodusentene før han valgte å gå ut med avsløringene. D-link har så langt ikke kommentert funnet.

Rutere kan normalt konfigureres til ikke å godta fjernadministrasjon over internett, men bare i lokalnettet. Det gir mindre risiko for angrep av denne typen. Hvorvidt bakdøren åpner for fjernaksess uansett har digi.no ikke funnet kilder på.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.