martes, 3 de diciembre de 2013

D-Link cierra la puerta trasera de sus routers

D-Link ha publicado actualizaciones para solucionar una puerta trasera descubierta en diversos modelos de sus routers. A mediados de octubre informábamos deldescubrimiento de una puerta trasera en los routers D-Link que permitiría evadir la autenticación y acceder al portal web de administración del dispositivo sin necesidad de conocer las credenciales de acceso. 

El problema residía en que si el "User-agent" del navegador era "xmlset_roodkcableoj28840ybtide" entonces el sistema nos daba por autenticados abriéndonos paso a cualquier lugar del interfaz. Los routers afectados por este problema son los siguientes: DIR-100, DIR-120, DI-524, DI-524UP, DI-604UP, DI-604+, DI-624S y TM-G5240. En la una-al-diapublicada anteriormente se pueden encontrar más detalles sobre lavulnerabilidad.

D-Link ha publicado versiones actualizadas del firmware de los dispositivos afectados. Dada la diversidad de versiones afectadas (en algunos modelos la actualización también depende de la región) se recomienda consultar el aviso publicado por de D-Link.  

Más información:

una-al-dia (14/10/2013) Encontrada puerta trasera en routers D-Link
http://unaaldia.hispasec.com/2013/10/encontrada-puerta-trasera-en-routers-d.html

Reverse Engineering a D-Link Backdoor
http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

Client for the DLink Backdoor, /bin/xmlsetc
http://pastebin.com/aMz8eYGa

D-Link routers authenticate administrative access using specific User-Agent string
http://securityadvisories.dlink.com/security/publication.aspx?name=SAP10001


Antonio Ropero
antonior@hispasec.com

Twitter: @aropero
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017