TP-Link zapomniał odnowić domenę tplinklogin.net – można przejąć routery…?

Wiele serwisów – również mainstreamowych w Polsce – ekscytuje się wygaśnięciem używanej przez TP-Link domeny tplinklogin.net (i potencjalnie kilku innych analogicznych, np.: tplinkwifi.net).

Całość daje prostą funkcję, która po wejściu właśnie na adres http://tplinklogin.net/ umożliwia dostanie się do panelu administracyjnego routera (trzeba oczywiście znać jeszcze login/hasło). Czyli nieważne jaki adres IP ma router i tak DNS zwróci mi ten poprawny (prywatny) adres IP. Sprytne, prawda?

Przejęcie tej domeny (ktoś ją zarejestrował) umożliwi więc podanie komuś fałszywego adresu (podłączy się więc do naszego urządzenia) – prawda? No tutaj jestem trochę sceptyczny…

Mając na koncie kilka bugów (OS shell) na TP-Linkach, wiem że całość realizowana jest przez moduł do jądra o nazwie: tp_domain, domain czy podobnie (zależy to od modelu urządzenia). Zobaczcie lsmod na żywym routerze:

Jeśli mam zatem TP-Linka – i ktoś z LANu wysyła request DNS do tej domeny, moduł jądra przechwytuje tą komunikację i odsyła odpowiednią odpowiedź (z IP routera) – realny serwer DNS dla domeny tplinklogin.net nie bierze udziału w całej zabawie. Więc i jego ustawienia nie mają w tym przypadku większego znaczenia. Zobaczcie np. taki request (router w ogóle nie podłączony na WAN, adres IP serwera DNS – „z czapki”:

W pewien sposób nawet udało mi się dotrzeć do źródła w C tego modułu, ale o tym w innym odcinku ;), na razie tylko zajawka:

–Michał Sajdak