XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Xəbərlər > D-Link ruterlərində Backdoor aşkar olundu.

17 İyun 2013

 D-Link (DIR-300revA, DIR-300revB, DIR-600revB) ruterlərində backdoor aşkar olundu.

Alman tədqiqatçı bəzi D-Link qurğularını Nmap vasitəsilə skan edib və tcp (telnet) 23-cü portun açıq olması faktını ortaya çıxarıb.

root@bt:~# nmap -sSV -p 23 192.168.178.133,144,222
Starting Nmap 6.01 ( nmap.org ) at 2013-04-30 13:42 CEST
Nmap scan report for 192.168.178.133
Host is up (0.0067s latency).
PORT STATE SERVICE VERSION
23/tcp open telnet D-Link 524, DIR-300, or WBR-1310 WAP telnetd
MAC Address: 1C:BD:B9:A7:7F:74 (D-link International PTE Limited)
Service Info: Device: WAP

Nmap scan report for 192.168.178.144
Host is up (0.0068s latency).
PORT STATE SERVICE VERSION
23/tcp open telnet D-Link 524, DIR-300, or WBR-1310 WAP telnetd
MAC Address: 00:26:5A:38:7D:77 (D-Link)
Service Info: Device: WAP

Nmap scan report for 192.168.178.222
Host is up (0.0031s latency).
PORT STATE SERVICE VERSION
23/tcp open telnet D-Link 524, DIR-300, or WBR-1310 WAP telnetd
MAC Address: 34:08:04:DB:6D:FE (D-Link)
Service Info: Device: WAP

Bundan sonra tədqiqatçı config faylına da baxıb və aşkar edib:

./rootfs/etc/scripts/misc/telnetd.sh
#!/bin/sh
image_sign=`cat /etc/config/image_sign`
TELNETD=`rgdb -g /sys/telnetd`
if [ "$TELNETD" = «true» ]; then
echo «Start telnetd ...» > /dev/console
if [ -f "/usr/sbin/login" ]; then
lf=`rgdb -i -g /runtime/layout/lanif`
telnetd -l "/usr/sbin/login" -u Alphanetworks:$image_sign -i $lf &
else
telnetd &
fi
fi
root@bt:~/firmware/DIR300-extracted# cat rootfs/etc/config/image_sign
wrgg19_c_dlwbr_dir300

Qeyd olunan şifrə qurğuya root səlahiyyətləri verir.

Root şifrəni əldə etdikdən sonra siz qurğuya daxil olmaqçün istifadəçi adı və şifrəni görə bilərsiniz.

Qeyd etmək istərdik ki, tədqiqatçı D-Link qurğularındakı boşluqlarla bağlı istehsalçıya bir neçə dəfə bildiriş göndərib. Lakin hər dəfə D-Link bu boşluqlara biganə yanaşıb və bir qədər keçdikdən sonra boşluqları aradan qaldırıb.

D-Link istifadəçilərinə tövsiyyəmiz o olardı ki, yuxarıda qeyd olunan və boşluq aşkar olunan qurğulardan istifadə etməsinlər.