Multiple vulnerabilities found in the Dlink DWR-932B (backdoor, backdoor accounts, weak WPS, RCE ...)

HUP cikkturkáló

- Telnet and SSH services running by default, with two hard-coded secret accounts (admin:admin and root:1234).
- Router has another secret backdoor that can be exploited by only sending "HELODBG" string as a secret hard-coded command to UDP port 39889, which in return launch Telnet as root privileges without any authentication.
- The PIN for the WPS system on D-Link routers is '28296607,' which is hard-coded in the /bin/appmgr program.
- It's notable the FOTA (Remote firmware over-the-air) daemon tries to retrieve the firmware over HTTPS. But at the date of the writing, the SSL certificate for https://qdp:qdp@fotatest.qmitw.com/qdh/ispname/2031/appliance.xml is invalid for 1.5 years

- Jun 16, 2016: Dlink Security Incident Response Team (William Brown) acknowledges the receipt of the report and says they will provide further updates.
- Sep 13, 2016: Dlinks says they don't have a schedule for a firmware release. Customers who have questions should contact their local/regional D-Link support offices for the latest information. support.dlink.com will be updated in the next 24 hours.
- Sep 28, 2016: A public advisory is sent to security mailing lists.

https://pierrekim.github.io/blog/2016-09-28-dlink-dwr-932b-lte-routers-…

  • 2280 megtekintés

( manfreed (nem ellenőrzött) | 2016. 09. 30., p – 09:20 )

Ezek NORMÁLISAK? Geciség backdoorokat hagyni akármilyen firmware-ben, de ha már piszkálódni akarnak miért nem úgy teszik, hogy csak magunkak hagyják nyitva az ajtót? Miért kell minden jöttment hackert beengedni?

Ami szomorú, hogy egy ilyen eset nem dönti le a lábáról a céget, nem pártolnak el vásárlók milliói a pénzüket visszakövetelve, a többség azt se tudja, hogy létezik ez az eset, és hogy kellene tennie valamit annak az érdekében, hogy ne valami nagy botnet része legyen.

csak maguknak hagyják nyitva az ajtót, de bárhonnan :-)

a második rész majd akkor lesz érdekes, ha emiatt jól megbüntetik majd valamelyik router tulajdonosát, túlforgalmazás (AUP megsértése vagy nagy kiszámlázott összeg) miatt, vagy támadás miatti korlátozás (v lekapcsolás) etc.
Esetleg valami proxy lesz gyermekpornóhoz...

A szolgáltatói router szerintem a lehető legjobb mindenkinek aki nem érti mi és miért van benne, szerintem.

Feltehetően a hálózataik kímélése miatt kezdték el ingyen osztogatni. A legnagyobb bajok két dologból szoktak keletkezni, az első a dlink és a kókány, hanyag meló.
A másik a karbantartatlan kod vagy a pásztázott kód

Sajnos nem jobb ott sem a helyzet, pont a hazai modemeket vizsgaltak par honapja: http://www.search-lab.hu/advisories/secadv-20150720

Valamint:
- http://tech.cert-hungary.hu/vulnerabilities/CH-13430 (https://play.google.com/store/apps/details?id=net.yolosec.routerkeygen2)
- http://www.pcworld.com/article/2899732/at-least-700000-routers-given-to…

Szerintem amit a szolgáltató által biztosított routerre raksz azt is érdemes úgy kezelned, hogy nem megbízható/nyilvános hálózatra csatlakoztattad.
A sérülékenységeken túl, a szolgáltató eszközével/rendszerével is előfordulhat hogy biztonsági szempontból nincs megfelelően konfigurálva.
Például CCCen: Beyond your cable modem - How not to do DOCSIS networks [32c3]
--
Légy derűs, tégy mindent örömmel!

Ami szomorú, hogy egy ilyen eset nem dönti le a lábáról a céget, nem pártolnak el vásárlók milliói a pénzüket visszakövetelve,

Nem, mert nem tehetik meg. Kb. nincs kihez elpártolni, mindegyik cég ugyanilyen ostóba módon fejleszt (sérülékenységek) és nagyon sok ugyanígy hagy backdoort.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( Dwokfur v | 2016. 09. 30., p – 09:29 )

Kezdem kedvelni a bejegyzéseidet. Legutóbb a systemd-s, most meg ez.
Az eszköz kiváló kandidátus arra, hogy az AoT (Attack of Things) tagjává váljon. Hány ilyen kókányolt firmware lehet? Hamarosan a mosógépeink és az intelligens villanykörtéink fognak le-DDOS-olni...

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

( freeoli v | 2016. 09. 30., p – 12:48 )

A D-Link hagyományosan nagy spiler a lyukas eszközökben, de ezt végig olvasni is sok.

A legszebb benne, hogy ezeket default próbálgatják a botok.

Felsorolható még pár hasonló gyártó ... Pl tp link több eszközében tálaltam már a fentiekhez hasonlókat.

Azt feltételezem, hogy az atheros, ralink, stb default rendszerét pasztazzak és logozzak at amennyire sikerül, de szépen mutatja a minosegbiztositasukat.