Zadní vrátka v D-Link DIR-510L

23.8.2014 19:52 | Přečteno: 5391× |

Jelikož se mi nedávno do rukou dostala chytrá krabička DIR-510L od společnosti D-Link, rozhodl jsem se podívat se, jak je na tom z hlediska bezpečnosti.

DIR-510L se představuje

DIR-510L je jeden z poměrně nových výrobků společnosti D-Link. Umí například sdílet obsah flashdisků, či konektivitu USB 3G modemů. Může také fungovat jako WiFi router nebo power banka. Má 3 USB, jeden konektor na ethernet, WiFi schopnou pracovat na 2.4 a 5 GHz a je napájen 4Ah akumulátorem.
DIR-510L se obvykle nachází na IP adrese 192.168.0.1, na kterou se sám umisťuje.

Sken portů a letmý průzkum

Prvním logickým krokem při průzkumu byl sken portů.
Otevřené porty:
80, 443, 2300, 4433, 8181

Na portech 80 a 443 se nachází HTTP, respektive HTTPS přístup do administrace.
Administrace vypadá na první pohled celkem bezpečně. Dokonce má i jakousi captchu pro přihlášení. Tuto captchu lze sice poměrně snadno obejít, neboť je poskládaná z po sobě vložených neměnných obrázků jednotlivých písmen. Toto je však jediná, a nepříliš závažná slabina, kterou je zde na první pohled vidět.

Na portech 8181 a 4433 se skrývá HTTP/HTTPS přístup do SharePort.
Prvním překvapením při průzkumu DIR-510L je těchto několik řádků ve zdrojovém kódu přihlašovací obrazovky. Jedná se o defaultní přihlašovací údaje do SharePortu.
user_shareport=new Array("admin","guest","","","","","","","","")
pass_shareport=new Array("admin","guest","","","","","","","","")
Toto naleznete ve zdrojovém kódu na adrese http://192.168.0.1:8181/, (oproti originálu odstraněny přebytečné bílé znaky)

To nejzajímavější na konec - port 2300.
Po připojení na tento port dostanete žádost o zadání přihlašovacího jména. Jedná se očividně o přístup k příkazové řádce. Zkouším tedy zadat náhodný řetězec písmen. Dostanu odpověď Login incorrect a novou žádost o login. Zkouším zadat login root. Tentokrát D-Link odpoví žádostí o heslo Password:. Ukázkový příklad toho, jak se přihlášení nemá dělat.
Rozhodl jsem se, že jejich chyby využiji a napsal jsem program, který otestuje zda DIR-510L zná i některá jiná obvyklá přihlašovací jména než jen root. Po chvíli program dobíhá a ukazuje se, že D-Link zná ještě loginy: ftp a nobody.
Zběžný bruteforce útok odhaluje, že loginy ftp a nobody mají prázdné heslo. Naneštěstí však oba při přihlášení vrací jen odpověď login: cannot run /sbin/nologin: No such file or directory. Ani jeden z nich totiž nemá v /etc/passwd povolenou příkazovou řádku.
Heslo roota navíc zatím odolává.

Průzkum firmwaru

Stahuji a rozbaluji stejnou verzi firmwaru, jako je v krabičce (Verze FW1.03B03; k dostání zde).
Nejprve pochopitelně směřuji k souboru passwd, který je uložen ve složce /usr/mv2ram/etc/passwd. Jenže na tomto souboru je zarážející jedna věc - obsahuje pouze jediný řádek. Kam se poděli uživetelé ftp a nobody?
root:$1$$N76hdwGfg11g0KdKbtyh21:0:0:root:/root:/bin/ash

A tak hledám dál. Pátrání po stringu passwd mě zavede k souboru /usr/sbin/commander. Rychlá analýza odhaluje poměrně nadějně vypadající řetězce /etc/passwd a root:%s:0:0:root:/root:/bin/ash\nnobody:$1$$qRPK7m23GJusamGpoGLby/:99:99:nobody:/var/usb:/sbin/nologin\nftp:$1$$qRPK7m23GJusamGpoGLby/:50:50:FTP USER:/var/usb:/sbin/nologin\n\x0

Důkladnější zkoumání souboru commander odhaluje, že heslem pro roota je amittima.

Další zajímavé soubory

Po prolomení přihlášení pochopitelně následoval podrobnější průzkum zbytku firmwaru.

Seznam souborů, které jsou přístupné po HTTP:

Tento D-Link po HTTP(S) nenabízí jen klasiskou administraci. Nabízí ke stažení i mnoho souborů s různými informacemi.

Soubory dostupné jen po přihlášení do administrace:

Tyto soubory v podstatě ničemu nevadí, jen by na jejich existenci mohl výrobce upozornit.
http://192.168.0.1/version.txt; /version.uyg je obdobné
Firmware External Version: V1.03
Firmware Internal Version: V1.03b03 (03PQ0.1030)
Date: 11, Apr, 2014
Checksum: b355
2.4GHz regulation domain: EU (1,2,3,4,5,6,7,8,9,10,11,12,13)
5GHz country code: EU (36 , 40 , 44 , 48)
2.4GHz SSID: SSID_WIFI2GHZ
5GHz SSID: SSID_WIFI5GHZ
WAN MAC: 78:54:2E:**:**:**
LAN MAC: 78:54:2E:**:**:**
2.4GHz WLAN MAC: 78:54:2E:**:**:**
5GHz WLAN MAC: 78:54:2E:**:**:**

Firmware Query: http://wrpd.dlink.com/router/firmware/query.aspx?model=DIR-510L_Ax_Default_FW_0103_78542E******

Soubory dostupné po přihlášení do Shareportu:

http://192.168.0.1:8181/system.log //Log.

Soubory dostupné bez přihlášení:

Tyto soubory DIR-510L nabízí volně ke stažení každému, kdo je k němu připojen.

adresa	obsah, poznámky
http://192.168.0.1/aplist.xml	Data o okolnich wifi routerech
http://192.168.0.1/bro.xml
http://192.168.0.1/mrtgs_m1.xml http://192.168.0.1/mrtgs_m2.xml http://192.168.0.1/mrtgs_m3.xml	Ultrakrátkodobá statistika množství přenášených dat
http://192.168.0.1/fwug.xml
http://192.168.0.1/pre7.dat	nějaký podivný binární soubor
http://192.168.0.1/reset.dat	nějaký podivný binární soubor
http://192.168.0.1/sta.xml
http://192.168.0.1/stat.xml	SSID a hesla WiFi sítí (těch patřících téhle krabičce, i těch používaných touto krabičkou), stav baterie !!!
http://192.168.0.1/statistics.xml	Statistiky - přenesená data, stav baterie
http://192.168.0.1/storage.xml	Info o storage
http://192.168.0.1/time.xml	Timezone
http://192.168.0.1/wifi_device.js	Jména, IP adresy, MAC adresy a výrobci počítačů připojených přes wifi + nějaká další data !!!
http://192.168.0.1/wifi_guestzone.js	nejspíš dtto pro počítače připojené přes guestzone !!!
http://192.168.0.1/mydlink/	nějaký podivný binární soubor
http://192.168.0.1/mydlink/get_Admin.asp
http://192.168.0.1/mydlink/get_Dhcpclient.asp
http://192.168.0.1/mydlink/get_Email.asp	Konfigurace SMTP
http://192.168.0.1/mydlink/get_Internet.asp
http://192.168.0.1/mydlink/get_LogDnsQuery.asp	Soubor /ram/tmp/LogDnsQuery - Log všech DNS dotazů uskutečněných přes tuto krabičku. !!!
http://192.168.0.1/mydlink/get_Logopt.asp
http://192.168.0.1/mydlink/get_Macfilter.asp
http://192.168.0.1/mydlink/get_Network.asp
http://192.168.0.1/mydlink/get_TriggedEventHistory.asp	Log. Obsahuje například záznamy o připojení zařízení k WiFi s MAC adresami připojených zařízení. !!!
http://192.168.0.1/mydlink/get_Virtual.asp
http://192.168.0.1/mydlink/get_Wireless.asp
http://192.168.0.1/mydlink/get_WlanAcl.asp
http://192.168.0.1:8181/info.cgi http://192.168.0.1/common/info.cgi	MAC adresa, model

Zajímavé soubory uložené pouze na běžícím zařízení:

/ram/tmp/LogDnsQuery
Log DNS dotazů které prošly tímto zařízením!
Typický řádek vypadá takto:
<record>08/15/2014 21:00:06;DNSQUERY;;www.youtube.com;</record>
Tento soubor je naštěstí uložený jen v RAM, takže se po vypnutí smaže.
/ram/tmp/csman/0
Další databáze uložených dat - obsahuje MAC adresy, jména a výrobce všech zařízení, která se k tomuto D-Linku připojily; MAC adresy, SSID a případně i hesla(pokud byla do D-Linku zadána) všech okolních accesspointů a ještě mnoho dalšího.
Také se smaže po vypnutí.
/ram/var/log/rlog.msg
Log.
Správný /etc/passwd:
root:$1$$N76hdwGfg11g0KdKbtyh21:0:0:root:/root:/bin/ash
nobody:$1$$qRPK7m23GJusamGpoGLby/:99:99:nobody:/var/usb:/sbin/nologin
ftp:$1$$qRPK7m23GJusamGpoGLby/:50:50:FTP USER:/var/usb:/sbin/nologin
root:amittima, ftp:*prázdné heslo*, nobody:*prázdné heslo*
Hash rootova hesla je kupodivu stejná, jako ta v imagi firmwaru v souboru /usr/mv2ram/etc/passwd.

Zajímavé programy:

/usr/bin/etherdump
Ano, oni si sem nachystali i řádkový packet sniffer....
/usr/bin/ap_scanner;/usr/bin/scanap;/usr/bin/scanap2
Programy, které hledají okolní access pointy.

Přístup z vnějšku

Útočníkovi k úspěšnému průniku zbývá už jen jediné - vůbec se k této krabičce připojit. V tomto ohledu se do středu pozornosti dostává WPS, které je defaultně zapnuté a nejde v administraci vypnout. WPS pin (jehož znalost bohatě stačí pro připojení se k WiFi bez znalosti jakéhokoli dalšího hesla) navíc nejde z administrace změnit a zůstává stejný i po hard resetu zařízení. Pokud vím, tak se používá nějaký, který je uložen od výrobce v paměti wifi adaptéru.
Souvislost mezi WPS pinem a MAC adresou WiFi karty se mi nalézt nepodařilo a možná ani neexistuje, WPS Pin je ale stejně možno získat v celkem rozumném čase hrubou silou.

       

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru