Onderzoeker ontdekt nieuwe achterdeur in D-Link-firmware

Kort nadat een achterdeur in een aantal D-Link-routers is gedicht, heeft een beveiligingsonderzoeker in een wat ouder model een nieuwe backdoor aangetroffen. Het gaat om een telnet-server met een standaard-wachtwoord.

D-Link logo logoBeveiligingsonderzoeker Matteo Ignaccolo kwam de backdoor naar eigen zeggen al in 2009 tegen, maar heeft hem destijds niet gerapporteerd. Anno 2013 bevindt de backdoor zich nog altijd in de firmware van meerdere D-Link-routers, zo schrijft de onderzoeker op zijn eigen website. In ieder geval de D-Link DAP-1522 is getroffen; die router stamt uit 2009, maar wordt nog altijd verkocht. Welke modellen nog meer kwetsbaar zijn, is onduidelijk.

Ignaccolo ontdekte de telnet-server met een simpele portscan. Het wachtwoord van de telnet-server is een afgeleide van de fabrikantnaam, de naam van het model en de gebruikte wifi-chip: wapnd01_dlink_dap1522. Bovendien is het wachtwoord in plaintext in de broncode van de chip opgeslagen. Gezien de eenvoud van het wachtwoord is het aannemelijk dat het om een standaardwachtwoord gaat dat voor alle modellen gelijk is, maar dat blijkt niet uit het bericht van Ignaccolo.

Het bestaan van de achterdeur wordt volgens de beveiligingsonderzoeker nergens in de documentatie uit de doeken gedaan. Het is onduidelijk of de telnet-server alleen lokaal te bereiken is, of ook vanaf de rest van het internet. Eerder ontdekte een onderzoeker al andere backdoors in D-Link-routers; die zijn kortgeleden opgelost. D-Link was niet bereikbaar voor een inhoudelijke reactie.

Door Joost Schellevis

Redacteur

Feedback • 29-11-2013 16:08 31

29-11-2013 • 16:08

31

Lees meer

D-Link DAP-1522

geen prijs bekend

Router D-Link moet snelheid van 2,1Gbit/s op 5GHz halen
Router D-Link moet snelheid van 2,1Gbit/s op 5GHz halen Nieuws van 5 januari 2015
D-Link belooft wifi-snelheden tot 1300Mbit/s op high-end ac-router
D-Link belooft wifi-snelheden tot 1300Mbit/s op high-end ac-router Nieuws van 30 mei 2014
D-Link voorziet 802.11ac-budgetrouter van persoonlijke cloudopslagfunctie
D-Link voorziet 802.11ac-budgetrouter van persoonlijke cloudopslagfunctie Nieuws van 4 februari 2014
Onderzoeker ontdekt backdoor in Linksys- en Netgear-routers
Onderzoeker ontdekt backdoor in Linksys- en Netgear-routers Nieuws van 2 januari 2014
'Ook Britten wilden achterdeur in beveiligde maildienst'
'Ook Britten wilden achterdeur in beveiligde maildienst' Nieuws van 12 december 2013
Hacker ontdekt backdoor in D-Link-routers
Hacker ontdekt backdoor in D-Link-routers Nieuws van 13 oktober 2013
Onderzoekers vinden tientallen nieuwe lekken in populaire routers
Onderzoekers vinden tientallen nieuwe lekken in populaire routers Nieuws van 5 augustus 2013
D-Link blijft Boxee Box ondersteunen na overname Boxee door Samsung
D-Link blijft Boxee Box ondersteunen na overname Boxee door Samsung Nieuws van 9 juli 2013
D-Link introduceert nieuwe 802.11ac-routers
D-Link introduceert nieuwe 802.11ac-routers Nieuws van 18 juni 2013
Meer producten en artikelen
Accesspoints Netwerk en systeembeheer D-Link

Reacties (31)

-Moderatie-faq
31
25
18
0
0
0
Wijzig sortering

Sorteer op:

Weergave:
Godgeneral16 29 november 2013 16:11
hmmm, vreemd verhaal. als hij het al in 2009 wist, waarom heeft hij het dan niet gemeld. vind ik een zeer slechte zaak van hem. dat kan beter. wie weet hoeveel gegevens er al zijn ontnomen bij gebruikers. slordig hoor.
OddesE @Godgeneral1629 november 2013 16:21
En waarom heb jij het niet gerapporteerd??

Het is maar één partij kwalijk te nemen en dat is D-Link zelf. Deze man doet jou en alle andere gebruikers een plezier door dit soort dingen te onderzoeken, maar om dit om te gaan draaien en hem kwalijk te nemen dat hij iets niet snel genoeg meldt is natuurlijk helemaal de omgekeerde wereld!
Godgeneral16 @OddesE29 november 2013 16:33
het is een feit, hij zegt zelf dat hij het toen al wist. dus dan vind ik het raar dat hij het toen niet al gemeld heeft, maar nu, 4 jaar verder, wel.

en waarom ik het niet heb gemeld? ik heb geen D-Link
xleeuwx @Godgeneral1629 november 2013 16:39
Misschien omdat hij dacht dat het om een eenmalig incidend ging inplaats van meerdere routers.
Godgeneral16 @xleeuwx29 november 2013 16:41
ja, zou kunnen, maar dan nog. even een simpel voorbeeld. ik zie dat iemand probeert te hacken, dan zal ik het toch ook moeten melden. als ik dan denk van, oh, is maar een eenmalig incident, dan ben ik straks ook schuldige als hij iemand hackt.
xleeuwx @Godgeneral1629 november 2013 16:45
dat bedoel ik niet, als jij ziet dat er op een specifieke router (2009) een bepaald password word gebruiker kan dat of hardgecodeerd zijn en op elke router verschillende hash.

Kom je daarna later een andere router(2013) tegen en die heeft ook hetzelfde wachtwoord dan trek je aan de bel. Ik zeg niet dat dit gebeurt is maar dit is wel een mogelijkheid dat het zo gebeurt is
Huppol 29 november 2013 16:16
Ik hoop dat er een lijst komt met modellen die hiervoor kwetsbaar zijn. Heb momenteel een Dir-655 waar ik best tevreden over ben, zeker voor de prijs ervan.

@OdessE hieronder:
Kan vanavond misschien wel even proberen!

[Reactie gewijzigd door Huppol op 23 juli 2024 05:23]

OddesE @Huppol29 november 2013 16:23
Ik zou zeggen installeer een telnet client en probeer uit of je kunt connecten.

Oh, mocht je dit inderdaad doen, zorg dan dat je hier rapporteert of dit nieuws ook opgaat voor de Dir-655, anders krijg je straks het verwijt slordig om te gaan met deze informatie... |:(
Ivos 29 november 2013 16:10
Toch vermakelijk om net nog de gesponsorde banner rechts op de FP van tweakers te zien, waarin reclame wordt gemaakt voor D-Link routers :)
Verwijderd @Ivos29 november 2013 16:45
Ik merk die reclames niet eens op, selectief kijken zeker?
notsonewbie 29 november 2013 16:21
WEER met d-link, werd ook al aangehaald in artikel over tp-link routers.
Was eerder al iets van deze trant met d-link, ook op tweakers.net geweest toen, vast wel te vinden in nieuws en/of forum.
En waarom ook niet, er zullen vast wel wat (indirect-)regering gestuurde merk-fabrieken van consumenten communicatie apparatuur zijn. Het zou vreemder zijn als het niet zo is.
leuk_he 29 november 2013 16:32
Hij heeft het over default address. Hangt telnet dan aan internet of alleen aan het in interne NAT netwerk (192.168.1.1.) Als de telnet server aan internet hangt is het wle even 100x ernstiger.
MavhRik 29 november 2013 20:14
Leuk... die router heeft ook een gast WiFi netwerk... zou helemaal 'top' zijn als het ook via dat netwerk mogelijk is!

//edit
Net even geprobeerd te telnetten (standaard poort) vanaf me normale WiFi naar me DAP-1522, maar die accepteert geen verbindingen.

[Reactie gewijzigd door MavhRik op 23 juli 2024 05:23]

Neus 29 november 2013 16:26
Waarom is dit een backdoor ? Het is toch gewoon een telnet server / poort die openstaat ? Niks raars aan.
Dysmael @Neus29 november 2013 16:36
Als dit niet is gedocumenteerd en (dus) ook niet terug te vinden is in de configuratie (alsin: je kan zelf kiezen of je wel of niet telnet open wil hebben staan) en er ook nog eens sprake is van een standaard wachtwoord dan mag dit zeer zeker een backdoor worden genoemd. Dan is het een deur die altijd open staat en die altijd met dezelfde sleutel (loper) te openen is.

Bovendien is het niet zo heel erg interessant of deze alleen vanaf het interne lan te bereiken is want het is kinderlijk eenvoudig een website te maken die 'terugtelnet' naar het interne IP van je router (d.m.v. o.a. XSS).

En de 'beveiliging' van browsers tegenwoordig, waarbij een website niet kan verbinden naar een 'intern IP' voegt ook niet veel toe aangezien zéér veel routers (waarschijnlijk deze D-Link ook) ook op 'interne' interfaces (vaak zelfs gewoon op -alle- interfaces) ook vanaf het LAN beschikbaar zijn op het WAN-IP. Dat laatste is vaak een bug maar kan ook in de vorm van NAT-loopback zijn.

[Reactie gewijzigd door Dysmael op 23 juli 2024 05:23]

Henk Poley @Neus29 november 2013 16:29
Met een wachtwoord dat voor iedereen met eenzelfde d-link router hetzelfde is.
Verwijderd @Henk Poley29 november 2013 16:31
Dat maakt het nog geen backdoor.... eerder een enorme stommiteit....


maar ja, backdoor klinkt interessanter, en dit is natuurlijk wel tweakers.net....

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:23]

Deem @Verwijderd29 november 2013 16:34
De aanwezigheid van een achterdeurtje valt niet op tijdens normaal gebruik van het programma. Mits bekend met het achterdeurtje, kan er door het uitvoeren van bepaalde handelingen toegang verkregen worden tot de programmatuur, zonder door de beveiliging te worden gehinderd.

Kenmerkend voor het achterdeurtje is dat het niet in het functioneel ontwerp van een systeem is vermeld.

Een achterdeurtje kan om goedaardige redenen in programmatuur worden ingebouwd, bijvoorbeeld de angst om een wachtwoord kwijt te raken. In dat geval is het hele concept van beveiliging niet juist uitgevoerd.

Veelal worden achterdeurtjes om kwaadaardige redenen ingebouwd. Mogelijkheden zijn dat krakers achterdeurtjes openzetten nadat zij een systeem gekraakt hebben om toegang in de toekomst te verzekeren en achterdeurtjes bewust in programma's ingebouwd worden om bepaalde partijen toegang tot de systemen van de gebruikers te geven.
Olaf van der Spek 29 november 2013 16:33
Open source firmware is toch handig op je router :p
Xantios @Olaf van der Spek29 november 2013 16:44
maar als die firmware chips aanstuurt met daarin gesloten firmware? wie zegt dat daar niks engs in zit?

Als een router-boer ECHT een backdoor in wilt bouwen lukt 't 'm toch wel.

die vorige D-Link backdoor zat bijvoorbeeld al iets beter verstopt, en er zijn ook nog providers die gewoon een trigger op een pakketje zetten, komt pakketje huppeldepup langs met een bepaald MAC-Adress en een inhoud van speciale bits, dan gooit de modem/router zich in de debug stand.

Gelukkig komt er steeds meer aan het licht ! dat is alleen maar goed!
Maar elke goeie tweakers gooit toch eens in de zoveel tijd een poortscan tegen zijn router aan?
Dysmael @Olaf van der Spek29 november 2013 16:46
Jij controleert altijd eerste de volledige broncode uitvoerig en compiled daarna zelf? Ik snap je redenatie maar er zijn wel kanttekeningen en het moet in juist perspectief worden geplaatst.
Verwijderd 29 november 2013 16:13
Het bestaan van de achterdeur wordt volgens de beveiligingsonderzoeker nergens in de documentatie uit de doeken gedaan.
Dat is meestal met een backdoor. Die wordt natuurlijk niet op een voor het publiek toegankelijk server geplaatst en daar uitgebreid beschreven. Deze backdoor zal echt wel bekend zijn bij D-Link of een van de medewerkers.
D-Link was niet bereikbaar voor een inhoudelijke reactie.
Jammer dat hun eigen routers ook gehackt zijn en ze dus blijkbaar geen internet en telefoon meer hebben.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:23]

Verwijderd @Gamebuster29 november 2013 17:37
Ik vraag mezelf ernstig af hoe banken omgekeerde bewijslats willen verantwoorden...
NAS kijkt ons af, overal backdoors in, zelf sin de laatste software (Weliswaar XP in het v.b):

nieuws: Lek in Windows XP- en Server 2003-kernel wordt actief misbruikt

nieuws: 'Duizenden Android-apps kwetsbaar door lekken in InMobi-adware'


Hoe gaan de banken uberhaupt dit voorstel erdor krijgen??
Cerberus_tm @Verwijderd29 november 2013 18:42
Volgens mij is die bewijslast op dit moment nog onduidelijk. De regels van de banken zelf worden mogelijkerwijs beperkt door hun wettelijke verplichtingen, maar wat zijn die precies? Er was onlangs sprake van dat het parlement bezig was met een regel over wanneer banken verplicht zijn je geld terug te geven bij fraude, en ik geloof dat daarin de vereiste van een virusscanner juist geschrapt was als ineffectief en onredelijk.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq