Beveiligingsonderzoeker Craig Heffner heeft een backdoor gevonden in een aantal routers van D-Link. Hij deed dit door de firmware te bekijken waarbij hij op een afwijkend authenticatieprotocol stuitte en dit vervolgens reverse-engineerde.

User Agent aangepast

Door de UA-string van de browser aan te passen naar xmlset_roodkcableoj28840ybtide (‘Edit by 04882 Joel Backdoor’ omgekeerd), krijgt een gebruiker toegang tot de webinterface van de router zonder daarvoor een wachtwoord te hoeven opgeven.

Het gaat om oudere modellen die daarom mogelijk niet langer worden ondersteund door de fabrikant. Kwetsbare routers zijn DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+ en TM-G5240 van D-Link. Ook router DIR-615 zou via deze backdoor aan te spreken zijn.

Sluiten voor toegang

De feature is te gebruiken met firmwareversie 1.13. Omdat er momenteel geen manier is om de backdoor te sluiten, adviseert Heffner gebruikers om de webportal niet publiekelijk toegankelijk in te stellen zodat de router enkel vanaf het eigen netwerk te bereiken is.

Bron: Website /dev/ttys0