Tiger-222

Routeurs déchus

mercredi 30 octobre 2013 à 02:04

En ce mois d'octobre, j'ai observé une recrudescence de portes dérobées (ou backdoors) dans des routeurs grand public. Je vais tenter de regrouper des liens et donner un minimum d'explications, ça fera un petit guide de dépannage ☠

Voici la liste des routeurs recensés :

D-Link DI-524UP
D-Link DI-604S, DI-604UP, DI-604+
D-Link DI-624
D-Link DIR-100
D-Link DIR-120
D-Link DIR-815
D-Link TM-G5240
Medialink MWN-WAPR150N
Netgear WNDR3700v4
Netgear WNDR3800
Netgear WNDR4700
Planex BRL-04R, BRL-04UR, BRL-04CW
Tenda W302R
Tenda W330R

Aussi, il semblerait que certains modèle Netgear utilisent un mot de passe root codé en dur.

DLink DIR-815 UPnP Command Injection

Le 1^er février 2013

Routeurs impactés : D-Link DIR-815.

The Shadow File avait 20 minutes à tuer. Et voilà que le D-Link tombe. En forgeant un packet tel que celui-ci :

M-SEARCH * HTTP/1.1

HOST:239.255.255.250:1900

ST:uuid:`reboot`  <-- Ici, la commande désirée

MX:2

MAN:"ssdp:discover"

Qu'il faut envoyer en multicast à l'addresse IP 239.255.255.250 sur le port UDP (1900). Il y a même un script python qui permet d'automatiser la tâche et spécifier une commande.

Reverse Engineering a D-Link Backdoor

Le 12 octobre 2013

Routeurs impactés : D-Link DI-524UP, D-Link DI-604S, D-Link DI-604UP, D-Link DI-604+, D-Link DI-624, D-Link DIR-100, D-Link DIR-120, D-Link TM-G5240, Planex BRL-04R, Planex BRL-04UR et Planex BRL-04CW.

Un chercheur en sécurité de chez /dev/ttyS0 à découvert qu'un certain Joel à implémenté une porte dérobée dans les routeurs utilisant le firmware v1.13. L'exploit est on ne peut plus simple : il suffit de modifier l'User-Agent tel que :

xmlset_roodkcableoj28840ybtide

Pour le côté fun, si on lit à l'envers, ça donne « Edit by 04882 Joel Backdoor ». Merci Joel.

From China, With Love

Le 17 octobre 2013

Routeurs impactés : Tenda W302R, Tenda W330R ou encore Medialink MWN-WAPR150N.

Toujours un chercheur en sécurité de chez /dev/ttyS0, tout se passe au niveau de la forge du packet :

echo -ne "w302r_mfg\x00x/bin/ls" | nc -u -q 5 IP_routeur 7329

Notez le "/bin/ls" dans le "echo", c'est la commande qui sera exécutée en root...

Complete, Persistent Compromise of Netgear Wireless Routers

Le 22 octobre 2013

Routeurs impactés : Netgear WNDR3700v4, Netgear WNDR3800 et Netgear WNDR4700.

The Shadow File a mis à mal les routeurs Netgear, bien comme il faut...
Il suffit de se rendre à l'adresse suivante pour désactiver totalement le contrôle d'accès :

http://IP_routeur/BRS_02_genieHelp.html

Pour voir les mots de passe Wi-Fi en clair :

http://IP_routeur/BRS_success.html

Et puis on peut aussi passer des commandes shell, sinon c'est pas rigolo. J'en garde une copie, juste au cas où.

Bref !

Comme disait Pépin.
J'ai bien peur que d'autres soient à venir... En attendant, quelques lecture intéressantes :

Alice in Router-land: Down The MP-202 Hole qui s'occupe de l'AudioCodes MP-202

Et sinon, vive le libre, vive le Linksys WRT54G (photo de l'article) et son firmware open-source DD-WRT !