Podatność CSRF w routerze D-Link DSL-2640B umożliwiająca zdalny restart urządzenia

Po “męczeniu” niesławnego już Thomsona TC7200 postanowiłem przyjżeć się bliżej pierwszej generacji routera D-Link DSL-2640B , który zalegał u mnie, przez długi czas, w piwnicy. Urządzenie to nie grzeszy nowością, kupiłem je w 2008 roku, a jego wsparcie zakończyło się już w 2009 roku.

Dlaczego taki staroć? Dlatego, że sporo osób dalej wykorzystuje go do podziału domowego łącza co widać np. na elektrodzie, a niektórzy nawet pokusili się o stwierdzenie nieśmiertelności tego urządzenia. No cóż… Sprawdzimy 😉

 

dsl-2640b

DSL-2640B jest podatne na banalniejszy atak niż ostatnio opisywany w przypadku routerów Thomson. Wystarczy tylko wejście na stronę (klik!) i mimo tego, że zostaniemy uraczeni ekranem logowania, urządzenie grzecznie wykona nasze polecenie i się zresetuje bez uwierzytelniania.

Uczynić może to dowolna osoba podpięta do naszej sieci LAN/WLAN lub zdalnie, w przypadku kiedy udostępniamy interfejs administracyjny routera do Internetu. Również możemy “sami siebie” zaatakować wchodząc na specjalnie spreparowaną stronę poprzez CSRF.

CSRF Proof-of-Concept

Błąd jest obecny we wszystkich wersjach firmware, w tym najnowszej 4.01EU.

Mam taki router, jak mam dalej żyć?

Atak nie jest poważnym zagrożeniem, z racji stosunkowo niewielkiej ilości użytkowników tego sprzętu oraz domyślnie blokowanego interfejsu administracyjnego do Internetu.

Jeżeli dalej mimo wszystko boimy się ataku, polecam zmianę oprogramowania routera na OpenWRT i rozważenie wyłączenia dostępności panelu administratora w Internecie, jeżeli go udostępniamy.

W przypadku gdy ktoś z czytelników posiada nowszą wersję tego sprzętu (lub innego w tej samej rodzinie produktów) to proszę, aby rzucił okiem czy jest podatny na ten błąd i dał znać w komentarzach 🙂

2 thoughts on “Podatność CSRF w routerze D-Link DSL-2640B umożliwiająca zdalny restart urządzenia

  1. Niech autor się zdecyduje:
    “sporo osób dalej wykorzystuje go”
    czy
    “stosunkowo niewielkiej ilości użytkowników tego sprzętu”
    ?

  2. Chodziło mi o to, że stosunkowo sporo użytkowników jak na wiek tego urządzenia, natomiast w ogólności jest ich niewiele 🙂

Comments are closed.