最近、セキュリティ研究者であるクレイグ・ヘフナー氏が、複数のD-Linkルーターのファームウェアにバックドア・プログラムを発見したと公言しました。
セキュリティ会社Tactical Networks Solutionsの脆弱性研究者であるヘフナー氏は、退屈な土曜日の夜にD-Linkルーターのファームウェアに含まれるウェブサーバーソフトウェアを逆アナリシスしている際に、ルーターにバックドアプログラムの脆弱性が含まれていることを発見したとするブログを/dev/ttyS0のウェブサイトに投稿。
Binwalkツールを使用してウェブサーバーのバイナリを抽出し、IDAを介してバイナリを分析した後、ヘフナーは、それが実際にACME LabsのオープンソースのHTTPサーバーの実行結果であることを発見しました。D-Linkの子会社Alphanetworks。
同社はThttpdのバージョン.23を使用していますが、このバージョンには多くの脆弱性が含まれており、そのうちのいくつかはハッカーに悪用され、場合によってはリモートでコードを実行される可能性があります。しかし、erは意図的に導入された別の脆弱性も指摘しており、この新しい脆弱性があれば、他の脆弱性は完全に無視できます。
Alphanetworks の開発者によって Thttpd に加えられた修正には、__ck と呼ばれる関数が含まれています。この関数は、ユーザがログインしていることを確認するために使用できるローカルの _in 関数がサーバに以前含まれていたにもかかわらず、開発者によって修正されました。新しいカスタム関数は、主にユーザリクエストの特定の情報をチェックし、ローカル認証ステップをスキップするかどうかを決定するために使用されます。
カスタム関数によってチェックされる情報には、グラフィックや公開ディレクトリに対する正当なユーザー要求に関する情報が含まれます。 この要求をチェックする理由は、ユーザーにログインを要求するD-Linkブランドのページを表示したり、ユーザーがログインしなくても閲覧できる情報にアクセスできるようにするためです。
これに加えて、カスタム関数はブラウザのユーザーエージェントをチェックし、ブラウザのユーザーエージェント文字列が "xmlset_roodkcableoj28840ybtide "に一致する場合、認証ステップをスキップすることができます。
この文字列の場合、後ろから前に読み返すと、「edited by 04882 joel backdoor」のように、担当者と思われる人物の名前を見つけることができます。
実際のところ、HTTP リクエストの一部であるユーザー・エージェント・ヘッダ情報を修正することの影 響は大きくないが、そのような修正は、-nk デバイスがファームウェアを実行し始めることを可能にし、 認証なしでハッカーが直接ログイン・アクセスする危険をもたらす。
検索エンジン「Shodan」を使って簡単に調査してみると、現在、Alphanetworksバージョンのthttpdを使用しているデバイスが1,000台以上あることがわかります。
提案されているバックドア・プログラムの使用法は、ファームウェアに含まれている別のバイナリ・ファイルを分析することで見つけることができます。このバイナリファイル、/bin/xmlsetcは、ユーザーエージェントヘッダファイルからデバイスに文字列とリクエスト情報を送信し、ルーターの設定を合法的に変更します。
私の推測では、開発者は何らかのプログラムやサービスにデバイスの設定を自動的に変更する機能が必要だと感じ、ウェブサーバーにはすでにそれらの設定を変更できるコードが含まれていると感じたため、デバイスの設定を変更する必要があるかどうかに関係なく、リクエスト情報をウェブサーバーに送信するだけにしたのではないかと思います。ここでの唯一の問題は、ウェブサーバーがユーザー名とパスワードを要求することです。そこでジョエルは閃き、飛び上がって興奮気味にこう言いました。『心配ない、それを成し遂げる完璧なプランを思いついたんだ!』。.
ヘフナー氏によると、以下のD-LinkとPlanex(同じファームウェアを使用)のルーターにはバックドア・プログラムが搭載されているとのこと:
DIR-001
DI-425
DI-524UP
DI-604S
DI-604UP
DI-604+
TM-G4250
BRL-04UR
BRL-04CW
これに対し、D-LinkはPCWorldとのインタビューで、今月末に脆弱性を修正するセキュリティパッチをリリースする予定であることを明らかにしました。
「バックドアを発見した人物とは積極的に連絡を取り合っており、これらの脆弱性が修正されるよう、他の製品も常にチェックしています」とD-Linkは公式テクニカルサポートページに記しています。同時に、同社はユーザーに対し、リモートアクセスが不要な場合は無効にするよう注意を促しています。もちろん、この機能自体はデフォルトで無効になっています。
