Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
TP-Link zapomniał odnowić domenę tplinklogin.net – można przejąć routery…?
Wiele serwisów – również mainstreamowych w Polsce – ekscytuje się wygaśnięciem używanej przez TP-Link domeny tplinklogin.net (i potencjalnie kilku innych analogicznych, np.: tplinkwifi.net).
Całość daje prostą funkcję, która po wejściu właśnie na adres http://tplinklogin.net/ umożliwia dostanie się do panelu administracyjnego routera (trzeba oczywiście znać jeszcze login/hasło). Czyli nieważne jaki adres IP ma router i tak DNS zwróci mi ten poprawny (prywatny) adres IP. Sprytne, prawda?
Przejęcie tej domeny (ktoś ją zarejestrował) umożliwi więc podanie komuś fałszywego adresu (podłączy się więc do naszego urządzenia) – prawda? No tutaj jestem trochę sceptyczny…
Mając na koncie kilka bugów (OS shell) na TP-Linkach, wiem że całość realizowana jest przez moduł do jądra o nazwie: tp_domain, domain czy podobnie (zależy to od modelu urządzenia). Zobaczcie lsmod na żywym routerze:
Jeśli mam zatem TP-Linka – i ktoś z LANu wysyła request DNS do tej domeny, moduł jądra przechwytuje tą komunikację i odsyła odpowiednią odpowiedź (z IP routera) – realny serwer DNS dla domeny tplinklogin.net nie bierze udziału w całej zabawie. Więc i jego ustawienia nie mają w tym przypadku większego znaczenia. Zobaczcie np. taki request (router w ogóle nie podłączony na WAN, adres IP serwera DNS – „z czapki”:
W pewien sposób nawet udało mi się dotrzeć do źródła w C tego modułu, ale o tym w innym odcinku ;), na razie tylko zajawka:
–Michał Sajdak
Uspokajające z punktu widzenia bezpieczeństwa. Wizerunkowo tplink dał ciała. Przecież nawet jak w filmie ktoś podaje zmyslona domenę to jeszcze przed pierwsza emisja jest juz zarejestrowana.
A co, jeśli roztargniony użytkownik urządzenia mobilnego będzie się chciał z niego zalogować do tej strony i przypadkiem nie będzie miał włączone WLAN tylko komórkową transmisję danych? Narażony jest wtedy na przejęcie przez osoby trzecie poświadczeń do lokalnego routera i ewentualną próbę infekcję niepożądanym oprogramowaniem.