Taiwanese overheid waarschuwt voor verborgen backdoor in D-Link-routers

[Captain Kirk]

Verschillende routers van D-Link bevatten een 'verborgen backdoor' waarmee aanvallers op de apparaten kunnen inloggen, zo waarschuwt het Taiwanese Computer Emergency Response Team (TWCERT) Er zijn firmware-updates uitgebracht om het probleem te verhelpen.

"Bepaalde modellen wifi-routers van D-Link bevatten een niet vermelde fabriekstest-backdoor. Ongeauthenticeerde aanvallers op het lokale netwerk kunnen via een speciale url Telnet inschakelen en dan inloggen via de admin-inloggegevens die in de firmware zijn te vinden", aldus de uitleg van de Taiwanese overheidsinstantie. Volgens de beschrijving van D-Link gaat het om een path traversal-kwetsbaarheid, hoewel het ook om een fout in de beschrijving kan gaan, aangezien in hetzelfde beveiligingsbulletin een andere path traversal-kwetsbaarheid wordt beschreven.

Volgens de uitleg van D-Link kan een ongeauthenticeerde aanvaller toegang tot een specifieke url krijgen, waarmee Telnet is in te schakelen. Vervolgens kan een aanvaller inloggen met de hardcoded inloggegevens die in de router-firmware zijn te vinden. Het uit 1969 stammende Telnet laat gebruikers op afstand op machines inloggen. Het maakt geen gebruik van encryptie, wat inhoudt dat gebruikersnaam en wachtwoord onversleuteld worden verstuurd. Het gebruik ervan wordt dan ook afgeraden en staat tegenwoordig op veel apparaten uitgeschakeld.

De aanval is volgens D-Link alleen vanaf de LAN-kant mogelijk. Het probleem lijkt dan ook vooral te spelen bij wifi-netwerken waar meerdere mensen toegang toe hebben. De impact van de kwetsbaarheid (CVE-2024-6045) is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. Het beveiligingslek is aanwezig in de volgende modellen: E15, G403, G415, G416, M15, M18, M32, R03, R04, R12, R15, R18, R32 en AQUILA PRO AI Family model E30, M30 en M60. De beschikbare firmware-updates kunnen automatisch en handmatig worden geïnstalleerd.

 

bron: https://www.security.nl