D-Link製ルータにUser-Agent偽装で認証なしに設定変更ができるバックドアが見つかる 11
ストーリー by hylom
よく発見したなぁ 部門より
よく発見したなぁ 部門より
tamo 曰く、
D-Link製のルータに、User-Agentを「xmlset_roodkcableoj28840ybtide」という文字列にしただけで設定を変更できてしまうというバックドアがあるらしいです(解説しているブログ記事:Reverse Engineering a D-Link Backdoor)。
同じファームウェアがPlanexのBRL-04URやBRL-04CWにも使われているそうです。犯人はJoelさんなのでしょうか。
ファームウェアを解析したところ、この文字列および認証をパスするコードが発見されたという。通常このようなルータの管理画面は内部ネットワーク側からしかアクセスできないはずなので、外部からの攻撃に使われることはないとは思うが、注意しておいたほうがよさそうだ。
本当に外部から利用されないの? (スコア:3, 興味深い)
宛先もデフォルト設定値だと192.168.1.1みたいな解りやすいアドレスだし、認証なしで管理画面にアクセス可能。
つまり、XMLHttpRequestでsetRequestHeaderでUAを設定出来ちゃうようなケースだと、設定を認証なしに書き換えされる危険性が有るという事だと思うのですが。
# XMLHttpRequestのクロスドメイン対策はDNSリバインディング等で突破可能な事が有る事に注意 [nikkeibp.co.jp]
罠サイト踏んだら設定画面を外部公開するみたいな設定にされて後でじっくり美味しく頂かれたりとかかなりヤバメだと思う。
Re:本当に外部から利用されないの? (スコア:2)
同じ徳丸さんの記事ですが
DNSリバインディングによるルータへの侵入実験 [tokumaru.org]
こんな話もありましたねぇ。ハードルが下がってしまいました。
これが話題になったのはもう3年近く前なのですね…
// なにゆえ皆よってたかってuser-agentにへヴィな機能を盛り込むのかw(:>^
Joel (スコア:3, 参考になる)
タレコミを読んでも元記事本文を読んでもよくわからなかったのですが、元記事のコメントで
「ロシアのフォーラムに"xmlset_roodkcableoj28840ybtide"を逆から読んでみなって書いてあった」
っていうコメントがあって、そこからEdited by 04882 joel backdoor、転じてJoel's Backdoorなんて呼ばれているようです。
Re: (スコア:0)
自己訂正。
誤:Edited by 04882 joel backdoor
正:Edit by 04882 joel backdoor
ツッコミも入らないほどに注目の集まっていない記事のようで、人様の手を煩わせる前に何とか直せた次第。
某社ルーターでもLAN側から直接POST投げてやれば認証なしでルーターの再起動ができたりして、
cronで毎週リセットってやってたなあ、とちょっと懐かしくなった記事でした。
あのバグはもう修正されたんだろうか。
この書き方は (スコア:2)
内部から攻撃しない前提なのかな?
BRL-04CW (スコア:1)
サブルーターとして使用してるので試してみました。
LAN側からだと確かに認証すっ飛ばせますねorz
WAN側からのアクセスはデフォルトで禁止なのでこれ以上のバックドアが無い限りは大丈夫だと信じたいですが。
#内側につながってる機器からWebアクセスはしないのでとりあえずは放置かなぁ。
つまり (スコア:0)
ネットワーク内のPC乗っ取られたら終わりってことですね、わかりますん。
Re: (スコア:0)
何を持って終わりとするかですね
Re: (スコア:0)
まだだ、まだ終わらんよ
と誰も言わなくなったときを終わりとするので、中の人の厚顔無恥度合で決まります。
Re: (スコア:0)
そりゃまあ前提から終わってるからね。
Huawei製モバイルルータも酷い (スコア:0)
JSを見ればわかるのですが、ログインしなくてもぶら下がった端末ならすべてのPSKとかの設定が丸見えなので、人に貸してしまうとSSID分割とかの対策をしててもキャプチャできたりする...