Multiple vulnerabilities found in the Dlink DWR-932B (backdoor, backdoor accounts, weak WPS, RCE ...)

 ( toMpEr | 2016. szeptember 29., csütörtök - 23:54 )

- Telnet and SSH services running by default, with two hard-coded secret accounts (admin:admin and root:1234).
- Router has another secret backdoor that can be exploited by only sending "HELODBG" string as a secret hard-coded command to UDP port 39889, which in return launch Telnet as root privileges without any authentication.
- The PIN for the WPS system on D-Link routers is '28296607,' which is hard-coded in the /bin/appmgr program.
- It's notable the FOTA (Remote firmware over-the-air) daemon tries to retrieve the firmware over HTTPS. But at the date of the writing, the SSL certificate for https://qdp:qdp@fotatest.qmitw.com/qdh/ispname/2031/appliance.xml is invalid for 1.5 years

- Jun 16, 2016: Dlink Security Incident Response Team (William Brown) acknowledges the receipt of the report and says they will provide further updates.
- Sep 13, 2016: Dlinks says they don't have a schedule for a firmware release. Customers who have questions should contact their local/regional D-Link support offices for the latest information. support.dlink.com will be updated in the next 24 hours.
- Sep 28, 2016: A public advisory is sent to security mailing lists.

https://pierrekim.github.io/blog/2016-09-28-dlink-dwr-932b-lte-routers-vulnerabilities.html

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ezek NORMÁLISAK? Geciség backdoorokat hagyni akármilyen firmware-ben, de ha már piszkálódni akarnak miért nem úgy teszik, hogy csak magunkak hagyják nyitva az ajtót? Miért kell minden jöttment hackert beengedni?

Ami szomorú, hogy egy ilyen eset nem dönti le a lábáról a céget, nem pártolnak el vásárlók milliói a pénzüket visszakövetelve, a többség azt se tudja, hogy létezik ez az eset, és hogy kellene tennie valamit annak az érdekében, hogy ne valami nagy botnet része legyen.

csak maguknak hagyják nyitva az ajtót, de bárhonnan :-)

a második rész majd akkor lesz érdekes, ha emiatt jól megbüntetik majd valamelyik router tulajdonosát, túlforgalmazás (AUP megsértése vagy nagy kiszámlázott összeg) miatt, vagy támadás miatti korlátozás (v lekapcsolás) etc.
Esetleg valami proxy lesz gyermekpornóhoz...

Hát ezaz. Aztán magyarázd meg hogy neked semmi közöd hozzá.
Még viccesebb, hogy újabban a szolgáltatók adják a saját routereiket, frissítik saját maguk... Ki tudja mi van bent hagyva... És még ha tudod is, hogy frissíted?

A szolgáltatói router szerintem a lehető legjobb mindenkinek aki nem érti mi és miért van benne, szerintem.

Feltehetően a hálózataik kímélése miatt kezdték el ingyen osztogatni. A legnagyobb bajok két dologból szoktak keletkezni, az első a dlink és a kókány, hanyag meló.
A másik a karbantartatlan kod vagy a pásztázott kód

Szerintem amit a szolgáltató által biztosított routerre raksz azt is érdemes úgy kezelned, hogy nem megbízható/nyilvános hálózatra csatlakoztattad.
A sérülékenységeken túl, a szolgáltató eszközével/rendszerével is előfordulhat hogy biztonsági szempontból nincs megfelelően konfigurálva.
Például CCCen: Beyond your cable modem - How not to do DOCSIS networks [32c3]
--
Légy derűs, tégy mindent örömmel!

Idézet:
Ami szomorú, hogy egy ilyen eset nem dönti le a lábáról a céget, nem pártolnak el vásárlók milliói a pénzüket visszakövetelve,

Nem, mert nem tehetik meg. Kb. nincs kihez elpártolni, mindegyik cég ugyanilyen ostóba módon fejleszt (sérülékenységek) és nagyon sok ugyanígy hagy backdoort.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Amíg retardok ülnek a számítók előtt, mindig is lesz igény openssl, bash, systemd, google, dlink dolgokra.

Kezdem kedvelni a bejegyzéseidet. Legutóbb a systemd-s, most meg ez.
Az eszköz kiváló kandidátus arra, hogy az AoT (Attack of Things) tagjává váljon. Hány ilyen kókányolt firmware lehet? Hamarosan a mosógépeink és az intelligens villanykörtéink fognak le-DDOS-olni...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

>Hamarosan a mosógépeink és az intelligens villanykörtéink fognak le-DDOS-olni...

https://www.hackread.com/brian-krebs-website-665-gbps-ddos-attack/

A D-Link hagyományosan nagy spiler a lyukas eszközökben, de ezt végig olvasni is sok.

A legszebb benne, hogy ezeket default próbálgatják a botok.

Felsorolható még pár hasonló gyártó ... Pl tp link több eszközében tálaltam már a fentiekhez hasonlókat.

Azt feltételezem, hogy az atheros, ralink, stb default rendszerét pasztazzak és logozzak at amennyire sikerül, de szépen mutatja a minosegbiztositasukat.

Megtehetik a gyártók, mert ha ki is derül mi lesz belőle. Ahogy írod: Hagyományosan nagy spiler.

Ket ilyen accounttal nem hinnem, hogy szandekos backdoor, ha megis akkor nagyon nagy gondok vannak :)

---
http://www.vultr.com/?ref=6814182

Akkor is elég nagy gondok vannak, ha egy test build került rá a végtermékekre

Sub
--
WP8.x kritika: http://goo.gl/udShvC