Бэкдор в роутерах TP-LINK

Бэкдор в роутерах TP-LINK

Польский security-эксперт Michał Sajdak из компании Securitum нашел очень интересный бэкдор в роутерах TP-LINK.

Эксплуатация бэкдора довольна проста, и её суть показана на следующей иллюстрации:



Инструкция:
Пользователь выполняет HTTP-запрос:
http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html
Роутер подключается к IP-адресу, сделавшему данный запрос, и пробует найти TFTP-сервер.
В случае если TFTP-сервер найден, роутер скачивает файл «nart.out»
Скаченный файл запускается с привилегиями root-пользователя

Скорее всего данный бэкдор может быть использован только внутри сети.
Бэкдор содержат следующие модели роутеров: TL-WDR4300, TL-WR743ND (v1.2 v2.0). Однако данный список может быть не полный.

источник

UPD:
TP-Link WDR740ND/WDR740N routers have a hidden debugging shell with root privileges that could be abused by attackers.

The username is hard coded in the HTTP server binary and the password cannot be changed from the management interface so the following credentials are almost guaranteed to work:

http://192.168.0.1/userRpmNatDebugRpm26525557/linux_cmdline.html

Usersteam
Password:5up

«Update: People have been reporting on forums that models WR743ND,WR842ND,WA-901ND,WR941N,WR941ND,WR1043ND,WR2543ND,MR3220,MR3020,WR841N also have access to this root shell.»

От себя: проверил на MR3020, первый вариант наглухо вешает роутер с потерей соединения по Wi-Fi, второй - дает вполне полноценный рутовый веб-шелл

 

прикольно, работает!

 

Нет, роутер не виснет полностью. Через некоторое время, после запуска первой команды, в браузере пишет ответ "Art successfully started" и роутер снова становится доступен на wan-интерфейсе.
А вот wifi действительно отваливается.

Ну полноценным этот огрызок с busybox, в котором нет к примеру такой банальщины, как cp mv touch, назвать никак нельзя
Кроме того, почему-то не выводится содержимое некоторых файлов. Например, в /tmp лежат среди прочих файлы 80211g.ap_radio и ath0.ap_bss с абсолютно одинаковыми правами доступа. Содержимое первого показывается без проблем, второго - нет...Как это понимать?
Кроме того, насколько я понял, в любом случае, в начале требуется авторизация на веб-морде. А если она есть, то что может еще дать этот шелл, через который нельзя изменить ни один файл?
В общем, уязвимость забавная, но практической пользы лично я пока не вижу; возможно у кого-то есть идеи по этому поводу?

 

где взять нарт аут и как в него свои настройки прописать ?

желательно чтоб он отстукивал мне на е-майл новый пароль на роутер каждый раз при смене..

 

как им пользоваться - какие команды подавать?