Preprosto spremenite eno glavo HTTP in številni usmerjevalniki D-Link bodo napadalcu omogočili vstop, brez kakršnih koli preverjanj pristnosti.
Raziskovalec varnosti Craig Heffner je odkril stranska vrata znotraj vdelane programske opreme v številnih usmerjevalnikih D-Link.
Heffner, ki običajno dela kot raziskovalec ranljivosti za Tactical Networks Solutions, zapisal na /dev/ttyS0 da je odkril stranska vrata z obratnim inženiringom programske opreme spletnega strežnika, vsebovane v vdelani programski opremi naprave, medtem ko na sobotni večer brez datuma ni imel kaj početi.
Potem ko je Heffner izvlekel binarno datoteko spletnega strežnika z uporabo Binwalk in jo preučil v IDA, je ugotovil, da gre za izvedbo odprtokodnega HTTP strežnika ACME Laboratories, Thttpd, ki so ga spremenili razvijalci iz D-Link spinoff Alphanetworks.
Zdi se, da se uporablja različica 2.23 Thttpd, ki že vsebuje a število ranljivosti, od katerih jih je nekaj mogoče uporabiti v določenih okoliščinah za omogočanje oddaljenega izvajanja kode. Vendar pa Heffner opozarja na še eno namensko uvedeno luknjo, zaradi katere je izkoriščanje teh ranljivosti nepotrebno.
Ena od sprememb Thttpd vključuje funkcijo, imenovano alpha_auth_check, čeprav že obstaja izvorna funkcija check_login za preverjanje, ali je uporabnik prijavljen. Funkcija po meri namesto tega preveri določene informacije v uporabnikovi zahtevi in določi, ali naj preskoči izvorna preverjanja pristnosti.
Ti vključujejo zakonite zahteve za grafične in javne imenike, verjetno za omogočanje prikaza Strani z blagovno znamko D-Link, ki uporabnike prosijo za prijavo ali dostop do informacij, ki ne zahtevajo, da je uporabnik prijavljeni.
Vendar pa pregleda tudi uporabniškega agenta brskalnika in če se ujema z "xmlset_roodkcableoj28840ybtide", so preverjanja pristnosti znova preskočena.
Niz, prebran nazaj, ponuja nekaj namig o tem, kdo bi lahko bil odgovoren - "uredil 04882 joel backdoor".
Spreminjanje glave uporabniškega agenta, ki je poslano kot del zahtev HTTP, je razmeroma nepomembna zadeva, in to bi omogočil dostop do naprav D-Link, ki uporabljajo vdelano programsko opremo in so obrnjene na internet, brez kakršnega koli preverjanja pristnosti preverjanja.
Preprosto preverjanje oddaj Shodan več kot 3.200 naprav izvaja Alphanetworks različico thttpd.
Predvidena uporaba backdoorja je razkrita v drugi dvojiški datoteki, ki jo vsebuje vdelana programska oprema, /bin/xmlsetc, ki bo pošljite zahteve z nizom v glavi uporabniškega agenta in nato spremenite konfiguracijo naprave za zakonito razlogov.
»Predvidevam, da so razvijalci ugotovili, da morajo nekateri programi/storitve imeti možnost samodejno spreminjati nastavitve naprave; ko so ugotovili, da ima spletni strežnik že vso kodo za spreminjanje teh nastavitev, so se odločili, da bodo spletnemu strežniku samo poslali zahteve, kadar bodo morali kaj spremeniti. Edina težava je bila, da je spletni strežnik zahteval uporabniško ime in geslo, ki ju je končni uporabnik lahko spremenil. Nato je v trenutku eureke Joel skočil in rekel: 'Ne skrbi, imam premeten načrt!',« je zapisal Heffner.
Hefner meni, da sta prizadeti naslednji napravi D-Link in Planex (ki uporabljata isto vdelano programsko opremo):
DIR-100
DI-524
DI-524UP
DI-604S
DI-604UP
DI-604+
TM-G5240
BRL-04UR
BRL-04CW
D-Link je za PCWorld povedal, da bo izdal popravke za prizadete naprave do konca tega meseca.
"Proaktivno sodelujemo z viri teh poročil in nadaljujemo s pregledovanjem v celotni liniji izdelkov, da zagotovimo odpravo odkritih ranljivosti," je dejal podjetje zapisal na svojih straneh za podporo. Opozorilo je, da bi morali uporabniki onemogočiti oddaljeni dostop do svojih naprav, če ni potreben, in da je ta funkcija privzeto onemogočena.