Máte D-Link? Tak to máte docela štěstí, že vám z něj ještě nikdo neudělal kůlničku na dříví. Firmware v1.13 pro DIR-100 revA a pravděpodobně i nižší verze obsahují učebnicový backdoor, v některých kruzích známý již více než tři roky.
Alpha a omega
Firmware, jak už je to u podobných zařízení zvykem, obsahuje obraz squashFS souborového systému, ze kterého běží operační systém a na kterém jsou nahrány všechny binárky. Mezi nimi je i THTTPD server ve verzi 2.23, ovšem v případě D-Linku upravený firmou Alphanetworks. THTTPD je malý svižný webservřík, jehož zdrojové kódy zabírají méně než 500 kB a tak je relativně jednoduché si jej upravit k obrazu svému. Třeba přidat funkci alpha_auth_check, která ovlivňuje, zda http server bude požadovat ověření nebo ne. Nebo třeba funkci alpha_httpd_parse_request, která doplňuje funkcionalitu standardního parsování http požadavku. A pak třeba nějaký řetězec, který při shodě s řetězcem názvu prohlížeče zapříčiní, že autentizace bude přeskočena a nabídne vám webové rozhraní bez nutnosti zadání jakéhokoliv jména a hesla. Přesně takhle onen backdoor totiž funguje. V případě, že nastavíte User-Agent header na hodnotu
xmlset_roodkcableoj28840ybtideD-Linky a případně ani jiná zařízení fungující se stejnou úpravou THTTPD serveru se nebudou ani obtěžovat dotazem na heslo a rovnou vás přihlásí.
Edit by 04882
Vtipného rozměru pak řetězec nabyde v případě, že jej přečtete pozpátku
Edit by 04882 Joel BackdoorJeště nedávno byla tato skutečnost dohledatelná pouze na ruských fórech. Minulý týden ale na tutéž bezpečnostní skulinu přišli kluci z /dev/ttys0, kteří se zabývání právě hackováním a rozebíráním vestavěných systémů (embedded devices). Jelikož tihle už píšou jazykem srozumitelným větší části populace, je jen otázkou času, kdy si někdo upraví firmware a ze zařízení s administračním rozhraním puštěným na WAN si udělá nějaký pěkný embedded botnet.