Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
D-Link łata krytyczne błędy bezpieczeństwa w routerach
D-Link wydał poprawione wersje firmware dla routerów COVR-X1870, DIR-X5460 oraz DIR-X4860, łącznie naprawiono 5 błędów, o poziomie krytycznym i wysokim
Firma D-Link w oświadczeniu pisze:
D-Link takes network security and user privacy very seriously. We have a dedicated task force and product management team on call to address evolving security issues and implement appropriate security measures.
Nie uchroniło to jednak przed wydaniem oprogramowania dla routerów z bardzo poważnymi błędami.
Dwa z nich, oznaczone jako CVE-2024-45694 oraz CVE-2024-45695 polegają na możliwości przepełnienia bufora w serwisie odpowiadającym za interfejs web i wykonania kodu (czyli de facto przejęcia kontroli nad urządzeniem) przez nieuwierzytelnionego atakującego. Jest poważnie, ale nie ukrywajmy, że – choć to żadne usprawiedliwienie dla producenta – takie błędy niestety zdarzają się w świecie oprogramowania dla sprzętu SOHO regularnie.
Kolejny błąd, oznaczony CVE-2024-45698 jest nieco ciekawszy. Serwis telnet (sic!) nie waliduje poprawnie danych wprowadzanych przez użytkownika, przez co pozwala na wstrzyknięcie dowolnych poleceń systemowych, które zostaną wykonane na urządzeniu. Dodatkowo mamy tu jeszcze wspomniane zapisane na sztywno w firmware urządzenia dane uwierzytelniające (ang. hardcoded credentials).
Czy może być gorzej? Może. Błąd CVE-2024-45696 pozwala atakującemu, poprzez wykorzystanie ukrytej funkcjonalności i wysłanie specjalnych pakietów, na aktywację usługi telnet, która będzie dostępna w sieci LAN obsługiwanej przez router. Następnie – zgodnie z przewidywaniami – wykorzystanie zapisanych w firmware danych uwierzytelniających i uzyskanie dostępu.
Jednak najbardziej kuriozalny błąd to CVE-2024-45697. Tutaj również mamy ukrytą funkcjonalność polegającą na możliwości włączenia serwisu telnet, jednak warunkiem aktywacji jest… podpięcie kabla do sieci WAN. Warunek, który występuje w przypadku routerów dość często. Logowanie już “tradycyjnie”, czyli przy użyciu zapisanego loginu i hasła w firmware. Opis nie wspomina niestety, czy uruchomiony serwis telnet jest dostępny w tym przypadku z sieci WAN czy “jedynie” z LAN, jak w poprzednim przypadku.
Jeśli posiadacie któreś z urządzeń D-Link: COVR-X1870, DIR-X5460 lub DIR-X4860, zachęcamy do jak najszybszej aktualizacji oprogramowania.
~Paweł Różański
To wygląda bardziej jak zestaw celowych backdoorów :)
Dla mnie dobrze ustawiony router tylko NAT’uje pakiety i to nie wszystkie. Resztę blokować. OpenWRT daje możliwość zapisu konfiguracji, jak coś potrzeba zmienić to restart i wgranie konfigu + ustawienia + block na lanie i wanie portów webshell,telnet itp routera w iptables. Zawsze były i zawsze będą potencjalne błędy tego typu (tj. przepełnienie bufora). Router to nie serwer, po co to mi ma działać tam. Nie uznaję uruchomionych usług na routerach typu samba, serwer drukarki itd. Mini serwer w sieci to rasbery pi bootowany z karty microsd w adapterze sd przestawionym w tryb tylko do odczytu , a router ma tylko mieć przekierowane porty. To może latami działać bez restartu i bez zmian i potrzeby zmian. Były jakieś błędy w natowaniu po ipv4? Pytam serio. Ja nawet icmp, igmp blokuje po nacie wogóle mi to nie potrzebne póki co i wszystkim tak ustawiam routery z openwrt. Ludzie grają online, filmy oglądają i rozmawiają przez internet normalnie. Kiedyś takie informacje wypływały pare razy do roku. Postanowiłem, że tak temat idzie zakończyć. O serwer trzeba dbać jako administrator, ale urządzenia końcowe to można potraktować na easy level jak się trochę pomyśli. 95% tych poważnych dziur przy moich ustawieniach nie jest groźna. To dobra nieupierdliwa taktyka jak ublock z wszystkimi filtrami + autousuwanie ciasteczek w przeglądarce.