Novo backdoor em roteador da D-Link mostra como a companhia não é muito chegada a segurança

Novo backdoor em roteador da D-Link mostra como a companhia não é muito chegada a segurança

link

Mais uma vez a D-Link está envolvida com uma grave falha de segurança em um dos seus produtos. Ontem (23) noticiamos que o pesquisador de segurança brasileiro Oliveira Lima Jr, descreveu em seu blog como encontrou um backdoor, a tão temida “porta dos fundos”, que pode ser explorada por cibercriminosos, em um roteador que é muito conhecido no mercado brasileiro, o DIR-615. 

Além da falha ser grave, já que pode ser explorada de diversas maneiras, como interceptar o tráfego da rede, roubo de dados ou até apenas pregar uma peça no usuário, o tempo que a companhia levou para resolver o problema foi bizarro: mais de 1 ano. O primeiro contato de Oliveira com a companhia foi no dia 11/05/2016, e o firmware revisado com o remendo para o problema foi colocado para download na página de suporte apenas nesta terça-feira (20/06/2017), e nenhuma menção ao tal backdoor foi feita na descrição do boletim sobre o que firmware está reparando. Uma atitude bastante questionável.

link 2

A D-Link está enrolada até o pescoço com esse assunto de segurança dos seus produtos. Em janeiro de 2017 a Comissão Federal de Comércio dos EUA (FTC) acusou a companhia de colocar os seus clientes em risco devido a sua abordagem extremamente negligente quando o assunto é segurança. 

A FTC disse que a D-Link deixou centenas de milhares de usuários vulneráveis a diversos ataques ao não conseguir proteger seus roteadores e câmeras IP. A D-Link negou as acusações, e disse que ninguém foi afetado com as tais brechas. Como a sede da D-Link é em Taiwan, a empresa conseguiu se mexer e argumentou que o governo americano não tem jurisdição para tratar do caso. A acusação acabou passando para a D-Link Systems Inc, que é apenas uma subsidiária, localizada na Califórnia.

No ano passado uma versão modificada da poderosa botnet Mirai, explorou falhas de segurança em roteadores para lançar ataques de negação de serviço. O roteador DSL-3780 da D-Link é um dos produtos atacados, e que acabou fazendo parte do grande exército de dispositivos zumbis que fazem a linha de frente dos ataques

Backdoor e D-Link numa mesma frase não é novidade. Em 2013, o pesquisador de segurança Craig Heffner, da Tactical Network Solutions descobriu um backdoor no firmware de diversos modelos de roteadores da companhia. A interface web do roteador poderia ser acessada sem senha, utilizando apenas essa string: xmlset_roodkcableoj28840ybtide.

A sequência revela algo importante neste trecho: roodkcableoj, que de trás pra frente aparece “Joel Backdoor”. O pesquisador de segurança na época sugeriu que provavelmente os desenvolvedores perceberam que alguns programas e serviços necessitavam ter suas configurações alteradas automaticamente. “Percebendo que o servidor web já possuía todo o código para alterar essas configurações, eles decidiram apenas enviar solicitações para o servidor sempre que precisassem mudar alguma coisa”. Economia de tempo para o pessoal da D-Link e dor de cabeça para os seus usuários. 

A falha que foi reportada em outubro daquele ano, poderia afetar diversos modelos, como o DIR-100, DIR-524, DI-524UP, DI-604S, entre outros.  A correção para o problema foi disponibilizada pela D-Link em dezembro.

No ano passado o pesquisador Pierre Kim encontrou múltiplas falhas de segurança no roteador DWR-932B, no mínimo 20 vulnerabilidades. O pesquisador disse que por padrão o roteador possui os serviços Telnet e SSH ativos, e duas contas administrativas: admin/ admin e root/ 1234. Com as vulnerabilidades encontradas os atacantes podem realizar ataques man-in-the-middle, monitorar o tráfego da rede, executar scripts mal-intencionadas, entre outras traquitanas. Devido a sua RAM considerável (168 MB) e o espaço livre de 235 MB o pesquisador diz que os cibercriminosos poderiam até hospedar sniffings, para o ataque.

link

A D-Link ficou sabendo dos problemas em junho, mas não deu um prazo para a resolução. Pierre disse que se em 90 dias não fosse resolvido ele mesmo divulgaria, e foi isso o que aconteceu.

Em um comunicado a D-Link disse que o DWR-932B é um produto descontinuado e que não era mais vendido nos EUA. Os clientes deveriam entrar em contato com o serviço de atendimento para trocar por um novo modelo.

De acordo com Kim, durante a conversa, a D-Link disse que não estava planejando reparar os dispositivos ou oferecer soluções alternativas, e insistiu que o roteador tinha condições de “trabalhar bem”.

Ainda em 2016, a empresa de segurança Senrio encontrou vulnerabilidades na câmera Wi-Fi DCS930, e que devido ao trabalho em conjunto com a D-Link ficou claro que outros 120 produtos da companhia sofriam do mesmo problema. A falha explorada é pelo método estouro de pilha (buffer overflow), com injeção de códigos que davam liberdade para que o atacante tivesse acesso remoto a câmera. 

link 2

Embora problemas como esse não sejam uma particularidade da D-Link, já que muitas empresas (principalmente as que investem nesse ecossistema de Iot), desenvolvem a parte de segurança de forma questionável. O número de casos e reclamações envolvendo os produtos da D-Link é realmente muito significativo. No caso reportado pelo brasileiro Oliveira Lima Jr, a posição da companhia com os seus clientes passou longe de ser clara, algo tão sério como um backdoor, omitido no boletim. 

Sobre o Autor

Avatar de William R. Plaza
Editor-chefe no Hardware.com.br, aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Leia mais
Redes Sociais:

Deixe seu comentário

X