Masz router D-Link DWR-932? Wyrzuć go. Jest dziurawy jak sito, a producent na łatki nie ma czasu

Masz router D-Link DWR-932? Wyrzuć go. Jest dziurawy jak sito, a producent na łatki nie ma czasu30.09.2016 13:12

D-Link DWR-932 jest dziś jednym z najpopularniejszych na rynkurouterów LTE. Nic w tym dziwnego: router ładnie wygląda, jestlekki i mobilny, ma niezłą specyfikację, i co najważniejsze,niską cenę – kupimy go za jakieś 320 zł. Ma jednak też jednąfatalną wadę. Jest dziurawy jak sito.

Routerem firmy, która świętuje 30 lat innowacji, zająłsię badacz Pierre Kim, po tym jak spędził trochę czasu badającroutery LTE firmy Quanta. Znalazł w nich kilkanaście różnych luk,które ocenił jako w najlepszym razie przejaw niekompetencji, a wnajgorszym, jako celowy sabotaż zabezpieczeń przez producenta.Mocne słowa, na szczęście routerów Quanta się praktycznie u nasnie spotyka, te modele popularne są przede wszystkim w Azji.

A może jednak spotyka? Wygląda na to, że DWR-932 D-Linka totechnicznie prawie to samo. Według badacza router nie tylko bazujekonstrukcyjnie na modelu Quanty, ale też odziedziczył luki z jegofirmware. Jest ich sporo – i co najciekawsze, D-Link w ogóle sięich odkryciem nie przejął. Mimo że Pierre Kim zgłosił jezespołowi bezpieczeństwa producenta w czerwcu, do tej pory niewydano łatek, a co więcej, firma stwierdziła, że nie ma w planachtakiego wydania.

Świetnie, oto na stronie badacza możecie zobaczyć publicznieujawnione luki w routerze D-Linka (oraz gotowe exploity) przetestowane na najnowszymfirmware. Wymienimy je tutaj w skrócie:

  • firmware D-Linka zawiera dwa konta-furtki z łatwymi dozgadnięcia hasłami (admin/admin, root/1234), które możnawykorzystać np. do obejścia mechanizmu uwierzytelnianiawykorzystywanego do zarządzania routerem.
  • zastosowano na sztywno wbity PIN do mechanizmu WirelessProtected Setup, w połączeniu z kiepskim algorytmem generacjiPIN-ów. Zapraszamy do lektury artykułuo tym, na co pozwala WPS, a szczególnie WPS ze słabym PIN-em.
  • w demonie HTTP znaleziono liczne podatności, otwierające drogędo zdalnego uruchomienia kodu, przeglądania zawartości systemuplików i wycieku informacji z interfejsu webowego.
  • wbite na sztywno dane logowania do serwerów aktualizacji.Bardzo fajnie, teraz każdy będzie mógł phishingowym atakiempodmienić firmware na jakieś bardziej złośliwe (o ile jest tomożliwe).
  • usunięcie zabezpieczeń w mechanizmie UPnP – można gowykorzystać do dowolnej konfiguracji zapory sieciowej, napastnikmoże sobie łatwo ustawić wszelkie przekierowania wszelkiegomożliwego ruchu.

Szczerze mówiąc, to świetny router – przynajmniej zperspektywy cyberprzestępców. Nie tylko jest pełen dziur, ale teżoferuje fantastyczne środowisko pracy. Niezły dwurdzeniowyprocesor, dużo RAM-u (całe 168 MB), sporo miejsca na własne pliki(235 MB), a do tego kompletny zestaw narzędzi sieciowych, wraz zsshd, proxy i tpcdumpem). Nic tylko go przejąć, uzłośliwić izamienić w narzędzie do ataków DDoS, MitM, czy snifowania ruchusieciowego. Badacz twierdzi, że sam przygotował zresztąuzłośliwione firmware dla tego modelu, instalacja przeszłabezproblemowo.

Co robić, jak żyć?

W obecnej sytuacji użytkownikom D-Linka DWR-932 możemy polecićtylko jedno. Alternatywnego firmware nie zainstalujecie, bo go niema. Bezpiecznego firmware nie zainstalujecie, bo go nie ma. Odłączcierouter od sieci i wsadźcie do pudełka. Może kiedyś jakaś łatkasię pojawi, ale dziś korzystanie z tego sprzętu to proszenie sięo kłopoty. Dlaczego D-Link tak podszedł do sprawy, możemy tylkozgadywać. Ignorancja czy sabotaż?

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na