Проприетарные “радости” D-link или опять 25.

Опубликовано автором

NIL ADMIRARI — ничему не удивляться.routers backdoor

 

Исследователи “Лаборатории Касперского” обнаружили несколько уязвимостей в прошивке роутеров D-Link DIR-620. Проблема заключается в том, что данная прошивка широко распространена, поскольку некий крупный российский интернет-провайдер предоставляет эти устройства своим абонентам. При этом домашние роутеры находятся за NAT провайдера и не попадают в статистику.

Красота? Но это ещё не всё. Т.е. две из трёх уязвимостей позволяют получить полный доступ к системе без авторизации.

Подробнее прочитать можно тут http://nag.ru/go/text/101405/

Но самое страшное не то, что D-link насколько безалаберно относится к ПО, и даже не то, что это может быть сделано умышленно. А то, что когда наступает EOL, ответ у таких компаний следующий:

Представители D-Link в ответ на запрос исследователей заявили, что данная модель производителем больше не поддерживается, поэтому обновлений с исправлением уязвимостей ждать не стоит.

Опять-таки. Молодцы. Не поддерживается так не поддерживается. Репутация и безопасность клиентов их слабо интересует.
Единственная рекомендация, которую тут можно дать (и которую даёт Kaspersky lab) это:

  • ограничить доступ к веб-панели, используя белый список доверенных IP-адресов;

  • запретить доступ к Telnet;

  • регулярно менять логин и пароль администратора к сервисам маршрутизатора.

Но вот беда. Вспоминаем новость, которая прошла буквально на днях: https://wi-cat.ru/others/o-vazhnosti-smenyi-rekvizitov-dostupa-ili-novaya-dryan-vpnfilter/  и, складывая дважды два, понимаем, что ограничение доступа по IP не даёт результата, как и полная блокировка со стороны Internet доступа к сервисам конфигурации. Почему? Всё просто. В сегодняшнем мире проще скомпрометировать Windows на ПК пользователя и с него уже провести атаку, автоматически обойдя все ограничения и фильтрацию (не будет же пользователь сам себе запрещать доступ к устройству).

Наверное, стоит подытожить. Сетевое оборудование, являющееся шлюзом в мир, просто обязано работать под открытыми операционными системами. Это важно для выявления проблем до того, как они могут быть выявлены «хакерами» и/или специалистами безопасности, например, конкурента. Важен также и момент возможности самостоятельного исправления, если вендор объявил EOL.

Требуйте с вашего производителя оборудования публикацию всех исходных текстов, необходимых для сборки актуальной версии ПО под ваши маршрутизаторы. Даже если вы сами не программист, то публикация исходных текстов позволит другим исправить проблемы и предоставить вам уже модифицированную версию.

OS Wive-NG полностью доступна в исходных кодах. И это — правило, которого мы придерживаемся на протяжении всего времени существования проекта. Обеспечивая тем самым возможность нашим клиентам не беспокоиться о том, что на нас упадёт метеорит, а завтра в ПО найдут пару уязвимостей.

Что же касается D-link, то они далеко не в первый раз пойманы на бэкдорах. Ещё один недавний пример http://www.rootlabs.com.br/backdoor-dlink-dir-615/
Отметим, что по ссылке ПО от AthpaNetworks («дочки» d-link) и на рынок РФ оно практически не поставляется (в отличии от ПО, над которым работал Kaspersky lab). Однако, это подтверждает доводы некоторых людей об особенностях корпоративной политики d-link на эту тему.

P.S. Стоит отметить, что метод, используемый Kaspersky lab для выявления уязвимостей, очень топорный и покрывает лишь очень малую часть проблемных мест. За последний год закрыты сотни уязвимостей уровня ядра, не выявляемых таким методом.

PP.S. А вот уже и реакция D-Link на пост на NAG и на наш пост https://forum.nag.ru/index.php?/topic/140965-v-proshivke-routerov-d-link-dir-620-obnaruzhili-opasnye-uyazvimosti/&tab=comments#comment-1487036 . Как обычно, мы не виноваты, это всё заказчик. И вообще мы все такие хорошие и безопасность это наш приоритет. И вообще это не бэкдор. На мой взгляд подобный ответ полностью дискредитирует D-Link. И это всё вместо часовой работы инженера и выпуска исправленного ПО. От всей души рекомендую пользователям пострадавшим от этих действий подать коллективный иск, причём не только к D-Link, но и к оператору по заказу которого вшит бэкдор.

PP.SS. В продолжение темы:
1) https://threatpost.ru/popular-d-link-router-riddled-with-vulnerabilities/22273/
2) http://www.rootlabs.com.br/backdoor-dlink-dir-615/
3) https://pikabu.ru/story/odnim_nazhatiem_knopki_otklyuchit_ot_interneta_millionyi_polzovateley_yeto_realnost_4775096
4) https://habr.com/post/183314/
5) https://cryptoworld.su/
6) https://www.linux.org.ru/forum/talks/9710884
7) https://www.securitylab.ru/news/448257.php
8) http://itcom.in.ua/vzlom-parolya-d-link-dir-300-i-320/

 

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.