Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties

Kort nadat een achterdeur in een aantal D-Link-routers is gedicht, heeft een beveiligingsonderzoeker in een wat ouder model een nieuwe backdoor aangetroffen. Het gaat om een telnet-server met een standaard-wachtwoord.

D-Link logo logoBeveiligingsonderzoeker Matteo Ignaccolo kwam de backdoor naar eigen zeggen al in 2009 tegen, maar heeft hem destijds niet gerapporteerd. Anno 2013 bevindt de backdoor zich nog altijd in de firmware van meerdere D-Link-routers, zo schrijft de onderzoeker op zijn eigen website. In ieder geval de D-Link DAP-1522 is getroffen; die router stamt uit 2009, maar wordt nog altijd verkocht. Welke modellen nog meer kwetsbaar zijn, is onduidelijk.

Ignaccolo ontdekte de telnet-server met een simpele portscan. Het wachtwoord van de telnet-server is een afgeleide van de fabrikantnaam, de naam van het model en de gebruikte wifi-chip: wapnd01_dlink_dap1522. Bovendien is het wachtwoord in plaintext in de broncode van de chip opgeslagen. Gezien de eenvoud van het wachtwoord is het aannemelijk dat het om een standaardwachtwoord gaat dat voor alle modellen gelijk is, maar dat blijkt niet uit het bericht van Ignaccolo.

Het bestaan van de achterdeur wordt volgens de beveiligingsonderzoeker nergens in de documentatie uit de doeken gedaan. Het is onduidelijk of de telnet-server alleen lokaal te bereiken is, of ook vanaf de rest van het internet. Eerder ontdekte een onderzoeker al andere backdoors in D-Link-routers; die zijn kortgeleden opgelost. D-Link was niet bereikbaar voor een inhoudelijke reactie.

Moderatie-faq Wijzig weergave

Reacties (31)

hmmm, vreemd verhaal. als hij het al in 2009 wist, waarom heeft hij het dan niet gemeld. vind ik een zeer slechte zaak van hem. dat kan beter. wie weet hoeveel gegevens er al zijn ontnomen bij gebruikers. slordig hoor.
En waarom heb jij het niet gerapporteerd??

Het is maar n partij kwalijk te nemen en dat is D-Link zelf. Deze man doet jou en alle andere gebruikers een plezier door dit soort dingen te onderzoeken, maar om dit om te gaan draaien en hem kwalijk te nemen dat hij iets niet snel genoeg meldt is natuurlijk helemaal de omgekeerde wereld!
het is een feit, hij zegt zelf dat hij het toen al wist. dus dan vind ik het raar dat hij het toen niet al gemeld heeft, maar nu, 4 jaar verder, wel.

en waarom ik het niet heb gemeld? ik heb geen D-Link
Misschien omdat hij dacht dat het om een eenmalig incidend ging inplaats van meerdere routers.
ja, zou kunnen, maar dan nog. even een simpel voorbeeld. ik zie dat iemand probeert te hacken, dan zal ik het toch ook moeten melden. als ik dan denk van, oh, is maar een eenmalig incident, dan ben ik straks ook schuldige als hij iemand hackt.
dat bedoel ik niet, als jij ziet dat er op een specifieke router (2009) een bepaald password word gebruiker kan dat of hardgecodeerd zijn en op elke router verschillende hash.

Kom je daarna later een andere router(2013) tegen en die heeft ook hetzelfde wachtwoord dan trek je aan de bel. Ik zeg niet dat dit gebeurt is maar dit is wel een mogelijkheid dat het zo gebeurt is
Ik hoop dat er een lijst komt met modellen die hiervoor kwetsbaar zijn. Heb momenteel een Dir-655 waar ik best tevreden over ben, zeker voor de prijs ervan.

@OdessE hieronder:
Kan vanavond misschien wel even proberen!

[Reactie gewijzigd door Huppol op 29 november 2013 16:43]

Ik zou zeggen installeer een telnet client en probeer uit of je kunt connecten.

Oh, mocht je dit inderdaad doen, zorg dan dat je hier rapporteert of dit nieuws ook opgaat voor de Dir-655, anders krijg je straks het verwijt slordig om te gaan met deze informatie... |:(
Toch vermakelijk om net nog de gesponsorde banner rechts op de FP van tweakers te zien, waarin reclame wordt gemaakt voor D-Link routers :)
Ik merk die reclames niet eens op, selectief kijken zeker?
WEER met d-link, werd ook al aangehaald in artikel over tp-link routers.
Was eerder al iets van deze trant met d-link, ook op tweakers.net geweest toen, vast wel te vinden in nieuws en/of forum.
En waarom ook niet, er zullen vast wel wat (indirect-)regering gestuurde merk-fabrieken van consumenten communicatie apparatuur zijn. Het zou vreemder zijn als het niet zo is.
Hij heeft het over default address. Hangt telnet dan aan internet of alleen aan het in interne NAT netwerk (192.168.1.1.) Als de telnet server aan internet hangt is het wle even 100x ernstiger.
Leuk... die router heeft ook een gast WiFi netwerk... zou helemaal 'top' zijn als het ook via dat netwerk mogelijk is!

//edit
Net even geprobeerd te telnetten (standaard poort) vanaf me normale WiFi naar me DAP-1522, maar die accepteert geen verbindingen.

[Reactie gewijzigd door inVision op 29 november 2013 22:16]

Waarom is dit een backdoor ? Het is toch gewoon een telnet server / poort die openstaat ? Niks raars aan.
Als dit niet is gedocumenteerd en (dus) ook niet terug te vinden is in de configuratie (alsin: je kan zelf kiezen of je wel of niet telnet open wil hebben staan) en er ook nog eens sprake is van een standaard wachtwoord dan mag dit zeer zeker een backdoor worden genoemd. Dan is het een deur die altijd open staat en die altijd met dezelfde sleutel (loper) te openen is.

Bovendien is het niet zo heel erg interessant of deze alleen vanaf het interne lan te bereiken is want het is kinderlijk eenvoudig een website te maken die 'terugtelnet' naar het interne IP van je router (d.m.v. o.a. XSS).

En de 'beveiliging' van browsers tegenwoordig, waarbij een website niet kan verbinden naar een 'intern IP' voegt ook niet veel toe aangezien zr veel routers (waarschijnlijk deze D-Link ook) ook op 'interne' interfaces (vaak zelfs gewoon op -alle- interfaces) ook vanaf het LAN beschikbaar zijn op het WAN-IP. Dat laatste is vaak een bug maar kan ook in de vorm van NAT-loopback zijn.

[Reactie gewijzigd door RolfLobker op 29 november 2013 16:47]

Met een wachtwoord dat voor iedereen met eenzelfde d-link router hetzelfde is.
Dat maakt het nog geen backdoor.... eerder een enorme stommiteit....


maar ja, backdoor klinkt interessanter, en dit is natuurlijk wel tweakers.net....

[Reactie gewijzigd door bazooka op 29 november 2013 16:32]

De aanwezigheid van een achterdeurtje valt niet op tijdens normaal gebruik van het programma. Mits bekend met het achterdeurtje, kan er door het uitvoeren van bepaalde handelingen toegang verkregen worden tot de programmatuur, zonder door de beveiliging te worden gehinderd.

Kenmerkend voor het achterdeurtje is dat het niet in het functioneel ontwerp van een systeem is vermeld.

Een achterdeurtje kan om goedaardige redenen in programmatuur worden ingebouwd, bijvoorbeeld de angst om een wachtwoord kwijt te raken. In dat geval is het hele concept van beveiliging niet juist uitgevoerd.

Veelal worden achterdeurtjes om kwaadaardige redenen ingebouwd. Mogelijkheden zijn dat krakers achterdeurtjes openzetten nadat zij een systeem gekraakt hebben om toegang in de toekomst te verzekeren en achterdeurtjes bewust in programma's ingebouwd worden om bepaalde partijen toegang tot de systemen van de gebruikers te geven.
Open source firmware is toch handig op je router :p
maar als die firmware chips aanstuurt met daarin gesloten firmware? wie zegt dat daar niks engs in zit?

Als een router-boer ECHT een backdoor in wilt bouwen lukt 't 'm toch wel.

die vorige D-Link backdoor zat bijvoorbeeld al iets beter verstopt, en er zijn ook nog providers die gewoon een trigger op een pakketje zetten, komt pakketje huppeldepup langs met een bepaald MAC-Adress en een inhoud van speciale bits, dan gooit de modem/router zich in de debug stand.

Gelukkig komt er steeds meer aan het licht ! dat is alleen maar goed!
Maar elke goeie tweakers gooit toch eens in de zoveel tijd een poortscan tegen zijn router aan?
Jij controleert altijd eerste de volledige broncode uitvoerig en compiled daarna zelf? Ik snap je redenatie maar er zijn wel kanttekeningen en het moet in juist perspectief worden geplaatst.
Het bestaan van de achterdeur wordt volgens de beveiligingsonderzoeker nergens in de documentatie uit de doeken gedaan.
Dat is meestal met een backdoor. Die wordt natuurlijk niet op een voor het publiek toegankelijk server geplaatst en daar uitgebreid beschreven. Deze backdoor zal echt wel bekend zijn bij D-Link of een van de medewerkers.
D-Link was niet bereikbaar voor een inhoudelijke reactie.
Jammer dat hun eigen routers ook gehackt zijn en ze dus blijkbaar geen internet en telefoon meer hebben.

[Reactie gewijzigd door ChicaneBT op 29 november 2013 16:14]

Ik vraag mezelf ernstig af hoe banken omgekeerde bewijslats willen verantwoorden...
NAS kijkt ons af, overal backdoors in, zelf sin de laatste software (Weliswaar XP in het v.b):

nieuws: Lek in Windows XP- en Server 2003-kernel wordt actief misbruikt

nieuws: 'Duizenden Android-apps kwetsbaar door lekken in InMobi-adware'


Hoe gaan de banken uberhaupt dit voorstel erdor krijgen??
Volgens mij is die bewijslast op dit moment nog onduidelijk. De regels van de banken zelf worden mogelijkerwijs beperkt door hun wettelijke verplichtingen, maar wat zijn die precies? Er was onlangs sprake van dat het parlement bezig was met een regel over wanneer banken verplicht zijn je geld terug te geven bij fraude, en ik geloof dat daarin de vereiste van een virusscanner juist geschrapt was als ineffectief en onredelijk.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True