Nowe D-Linki, stare błędy

dwr_backdoor_6

Testując frameworka Firmadyne (jego tematykę poruszę bardzo dokładnie w następnym poście – jeszcze w tym tygodniu 🙂 ) emulację oprogramowania D-Linka znalazłem nowe-stare błędy w urządzeniach DWR-921 rev. C (poprzedni opis dotyczył tylko rewizji A) oraz, routerze spoza rodziny DWR, DSL-2770L. Tym samym lista podatnych urządzeń urosła do dziewięciu modeli.

Podatne wersje oprogramowania:

  • DWR-921 rev. C – 3.00b7 (z dnia 2015-09-23)
  • DSL-2770L – 1.03 (z dnia 2015-07-24)

Szybkie przypomnienie znalezionych słabości:

  • Tylna furtka
  • Podatności CSRF
  • Ujawnianie haseł do sieci WiFi oraz parametrów pracy
  • Wbudowany sniffer oraz logowanie zapytań DNS
  • Ukryte strony administracyjne i pozostałości testowe

Jako ciekawostkę mogę dodać, że obydwa obrazy firmware zostały wypuszczone po załataniu luk na innych urządzeniach 😉

Obydwa urządzenia są w oficjalnej dystrybucji w Polsce. Na dzień pisania i publikacji posta (03.03.2016) brak poprawionych wersji oprogramowania.

One thought on “Nowe D-Linki, stare błędy

  1. Cześć Kamil,
    na polskiej stronie d-link znalazłem oprogramowanie t-mobile: 20160401_D-link_DWR-921C1_V1.01(T-Mobile)b03.bin
    niestety nie mam jak tego oprogramowania zweryfikować. Ciekawe czy tam nie ma jakiś jeszcze “dodatków” od t-mobile…

Comments are closed.