Il router D-Link ha un buco nel firmware

Un hacker scova una backdoor nel proprio hardware. E ne individua di identiche in tutta una famiglia di prodotti. Non è ancora chiaro lo scopo del codice incriminato
Un hacker scova una backdoor nel proprio hardware. E ne individua di identiche in tutta una famiglia di prodotti. Non è ancora chiaro lo scopo del codice incriminato

Paranoia complottista o semplice curiosità, la comunità hacker ultimamente sta con le antenne alzate e prova a guardarsi attorno più e meglio che in passato: è così che si fanno delle scoperte peculiari, come quella pubblicata sulle pagine di devttys0 a firma di “Craig”, che riporta per filo e per segno la descrizione di una backdoor scovata nel firmware del router taiwanese D-Link DIR-100 . C’è una procedura che, se eseguita quando ci si trova nella LAN associata al router, permette di modificarne in modo incontrollato la configurazione.

Nella trattazione di Craig si parte dall’analisi del firmware del router, e dei suoi componenti: tra questi l’hacker sceglie di concentrarsi sulla funzione “alpha_auth_check” che descrive appunto le modalità di accesso previa autorizzazione al pannello di configurazione, e scavando scavando si arriva a comprendere qual è il percorso che seguono le varie funzioni richiamate per concedere i privilegi necessari a modificare le impostazioni. Il problema è che se l’user-agent del browser utilizzato per accedere al classico pannello di configurazione è settato su “xmlset_roodkcableoj28840ybtide” non c’è bisogno di inserire ID e password per proseguire.

“xmlset_roodkcableoj28840ybtide”, letto al contrario , suona sinistramente come: edit by 04882 joel backdoor . Di fatto, probabilmente , uno dei programmatori D-Link o della società che ha sviluppato il firmware ha incluso una backdoor nel software per ragioni tecniche, così da permettere a specifiche applicazioni o funzioni di aggiornare autonomamente e automaticamente le impostazioni : il problema è che tutta la famiglia di router che condivide il firmware con il DR-100, tra gli altri DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ e anche parrebbe un paio di device forniti da alcuni provider assieme all’abbonamento, è vulnerabile a questo tipo di backdoor che potrebbe complicare la vita a qualche amministratore di sistema.

È bene chiarire che non si tratta di router impiegati in installazioni su scala aziendale, quanto piuttosto di prodotti destinati a casa e piccoli uffici: se nel primo caso, quindi, basta evitare che qualcuno si connetta alla LAN per arginare ogni vulnerabilità, nel secondo caso potrebbe essere più complicato venire a capo della faccenda in presenza di WiFi aperte al pubblico (per esempio in una reception o in una attività quale un bar o un ristorante). Al momento non ci sono indicazioni su che intenda fare l’azienda di Taiwan sulla questione.

Luca Annunziata

Link copiato negli appunti

Ti potrebbe interessare

14 10 2013
Link copiato negli appunti