Een zevental D-Link routers schijnt eenvoudig "overgenomen" te kunnen worden via een backdoor, zo heeft security expert Craig Heffner ontdekt bij het onderzoeken van de router software. De exploit bevat een character string die kan worden gebruikt om volledige toegang te krijgen tot de admin pagina van de betreffende routers. D-Link heeft inmiddels beloofd eind oktober met een fix voor deze kwetsbaarheid te komen.
Heffner vermoedt dat de backdoor in oorsprong door D-Link werd gebruikt om remote firmware updates toe te passen. was used by D-Link to provide remote firmware updates. Hij stelt vast dat een hard-coded string in het authenticatiesysteem, genaamd ‘xmlset_roodkcableoj28840ybtide’, indien gebruikt als 'user agent string' volledige toegang biedt tot de webinterface van de router zonder dat daarvoor een gebruikersnaam of wachtwoord benodigd is. Wanneer je de string omdraait, laat deze zich lezen als ‘edit by 04882 joel backdoor’. Dat doet vermoeden dat een programmeur met de naam Joel de backdoor opzettelijk in de router software heeft verwerkt.
De getroffen D-Link routers bestaan uit:
- DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ en de TM-G5240
- Daarnaast heeft Planex, een Japans netwerkbedrijf, twee modellen in zijn assortiment die ook kwetsbaar blijken: de BRL-04UR en BRL-04CW.
Zoals gezegd werkt D-Link aan een oplossing voor het probleem, tot die tijd adviseert het bedrijf zijn gebruikers het volgende:
- Negeer onbekende e-mails over beveiligingskwetsbaarheden die je vragen iets uit te voeren, temeer deze juist toegang tot je netwerk zouden kunnen verlenen.
- Zorg dat de beveiliging van je draadloze netwerk op orde is.
- Schakel remote access uit op je router wanneer je deze functie niet gebruikt (staat standaard al op disbaled).
Bron: Hexus
