Бэкдор в роутерах TP-LINK

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by gpuhash, 14 Mar 2013.

  1. gpuhash

    gpuhash Elder - Старейшина

    Joined:
    22 Sep 2011
    Messages:
    491
    Likes Received:
    2,149
    Reputations:
    97
    Бэкдор в роутерах TP-LINK

    Польский security-эксперт Michał Sajdak из компании Securitum нашел очень интересный бэкдор в роутерах TP-LINK.

    Эксплуатация бэкдора довольна проста, и её суть показана на следующей иллюстрации:

    [​IMG]

    Инструкция:
    Пользователь выполняет HTTP-запрос:
    http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html
    Роутер подключается к IP-адресу, сделавшему данный запрос, и пробует найти TFTP-сервер.
    В случае если TFTP-сервер найден, роутер скачивает файл «nart.out»
    Скаченный файл запускается с привилегиями root-пользователя

    Скорее всего данный бэкдор может быть использован только внутри сети.
    Бэкдор содержат следующие модели роутеров: TL-WDR4300, TL-WR743ND (v1.2 v2.0). Однако данный список может быть не полный.

    источник

    UPD:
    TP-Link WDR740ND/WDR740N routers have a hidden debugging shell with root privileges that could be abused by attackers.

    The username is hard coded in the HTTP server binary and the password cannot be changed from the management interface so the following credentials are almost guaranteed to work:

    http://192.168.0.1/userRpmNatDebugRpm26525557/linux_cmdline.html

    User:eek:steam
    Password:5up

    «Update: People have been reporting on forums that models WR743ND,WR842ND,WA-901ND,WR941N,WR941ND,WR1043ND,WR2543ND,MR3220,MR3020,WR841N also have access to this root shell.»

    От себя: проверил на MR3020, первый вариант наглухо вешает роутер с потерей соединения по Wi-Fi, второй - дает вполне полноценный рутовый веб-шелл
     
    #1 gpuhash, 14 Mar 2013
    Last edited: 14 Mar 2013
  2. теща

    теща Экстрасенс

    Joined:
    14 Sep 2005
    Messages:
    2,028
    Likes Received:
    522
    Reputations:
    285
    прикольно, работает!
     
  3. Klaatu

    Klaatu Member

    Joined:
    21 Nov 2012
    Messages:
    554
    Likes Received:
    69
    Reputations:
    8
    Нет, роутер не виснет полностью. Через некоторое время, после запуска первой команды, в браузере пишет ответ "Art successfully started" :D :D и роутер снова становится доступен на wan-интерфейсе.
    А вот wifi действительно отваливается.

    Ну полноценным этот огрызок с busybox, в котором нет к примеру такой банальщины, как cp mv touch, назвать никак нельзя :)
    Кроме того, почему-то не выводится содержимое некоторых файлов. Например, в /tmp лежат среди прочих файлы 80211g.ap_radio и ath0.ap_bss с абсолютно одинаковыми правами доступа. Содержимое первого показывается без проблем, второго - нет...Как это понимать?
    Кроме того, насколько я понял, в любом случае, в начале требуется авторизация на веб-морде. А если она есть, то что может еще дать этот шелл, через который нельзя изменить ни один файл?
    В общем, уязвимость забавная, но практической пользы лично я пока не вижу; возможно у кого-то есть идеи по этому поводу?
     
    binarymaster likes this.
  4. k0t@

    [email protected] New Member

    Joined:
    10 Oct 2011
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    где взять нарт аут и как в него свои настройки прописать ?

    желательно чтоб он отстукивал мне на е-майл новый пароль на роутер каждый раз при смене..
     
    #4 [email protected], 15 Apr 2014
    Last edited: 15 Apr 2014
  5. henri2002

    henri2002 Active Member

    Joined:
    25 Sep 2013
    Messages:
    379
    Likes Received:
    282
    Reputations:
    3
    как им пользоваться - какие команды подавать?