Descubierto un backdoor en los routers D-Link

Un investigador de seguridad  especializado en hardware y firmware ha encontrado una puerta trasera en los routers D-Link que permitiría evadir la autenticación y acceder al portal web de administración del dispositivo sin necesidad de conocer las credenciales de acceso.

Algo destacable es que se cree que este fallo habría sido descubierto hace  tres años y nadie informó al fabricante.

D-Link dice estar trabajando en la publicación de un firmware que solucione este problema y será publicado en breve en la página de soporte oficial.

Con el tipo de acceso que permite este fallo, un atacante podría controlar el tráfico de Internet de alguien a través de su propio servidor y leer su tráfico sin cifrar los datos.

Los routers afectados por este problema podrían ser los siguientes:

• DIR-100
• DI-524
• DI-524UP
• DI-604S
• DI-604UP
• DI-604+
• TM-G5240
• DIR-615

También estarían afectados los routers que usen dicho firmware como los Planex:

• BRL-04UR
• BRL-04CW

Craig Heffner analizó el firmware del dispositivo DIR-100 y mediante ingenieria  inversa desensambló el binario del servidor web (/bin/webs) y encontró que la  función 'alpha_auth_check', devuelve un valor AUTH_OK para ciertos valores de  las cabeceras de las peticiones HTTP. Este valor significa que la autenticación ha sido exitosa y se procede con la petición.

Viendo el código reconstruido por Craig podemos observar varias curiosidades:

código 

Cuando se accede a las carpetas “graphics/” y “public/” devuelve AUTH_OK. Esto es lógico ya que se trata de carpetas que contienen recursos públicos, necesarios para construir el interfaz de preautenticación. Pero si observamos existe una comparación de cadenas vía 'strcmp' donde se está comparando la cadena actual del User-agent y cierto valor literal. Es decir, si nuestro ‘User-agent’ es “xmlset_roodkcableoj28840ybtide” entonces el sistema nos dará por autenticados abriéndonos paso a cualquier lugar del interfaz.

Finalmente, alguien identificado como Travis Goodspeed profundizó en el
trabajo de Craig Heffner y encontró que la cadena asociada a la puerta trasera es usada por una utilidad incluida en el sistema "/bin/xmlsetc".
Todo apunta a que este mecanismo de evasión podría ser usado para tareas administrativas automatizadas y no un diseño impuesto en el dispositivo de manera maliciosa.

De momento, hasta que el fabricante tome cartas en el asunto, los dispositivos que empleen dicho firmware serían vulnerables a esta puerta trasera. Basta con cambiar el 'User-agent' del navegador (puede hacerse con un plugin o a través de un proxy http) a la cadena “xmlset_roodkcableoj28840ybtide” para  obtener acceso privilegiado.

Fuentes:
http://unaaldia.hispasec.com/2013/10/encontrada-puerta-trasera-en-routers-d.html#comments

Reverse Engineering a D-Link Backdoor:
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

Client for the DLink Backdoor, /bin/xmlsetc:
http://pastebin.com/aMz8eYGa