Roteador DIR-615 da D-Link é uma porta aberta a ataques maliciosos

O roteador DIR-615, da D-Link, estava com uma porta de entrada aberta para cibercriminosos há cerca de um ano. De acordo com uma denúncia recebida pelo TecMundo, um backdoor no firmware do roteador permitia o acesso via Telnet, um protocolo de rede utilizado para proporcionar melhorar a comunicação.

Usuários brasileiros do roteador precisam atualizar o dispositivo de maneira urgente — consumidores do Brasil e Taiwan foram afetados.

Se você possui o roteador D-Link DIR-615, atualize-o com urgência

“Trata-se de uma forma de acesso indevido com privilégios administrativos aos roteadores com os firmware afetados, sem o conhecimento do proprietário do dispositivo”, segundo o pesquisador Oliveira Lima, da StoneLABS. Lima nota que a D-Link recebeu o aviso sobre o problema há cerca de um ano, mas apenas agora o problema foi corrigido: “A D-link levou 1 ano para corrigir o problema em questão e acredito que o backdoor estava presente desde do lançamento do firmware”.

Apesar da correção, a questão ainda é grave: as pessoas não atualizam os próprios roteadores. A parcela de usuários que realmente faz o download de patches e atualiza o dispositivo é pequena, por isso, boa parte das pessoas que usam o roteador DIR-615 estão expostas aos cibercriminosos.

– Confira agora o modelo do seu roteador e atualize-o urgentemente. Para saber como atualizar, acesse aqui.

Como a invasão acontece

O roteador é o dispositivo-chave de toda a sua navegação na internet. Seja WiFi ou cabeado, independentemente da maneira em que você esteja conectado ao roteador, acaba passando pelo dispositivo tudo o que você faz online.

Com um backdoor presente, uma porta de entrada (vulnerabilidade no sistema) aberta para cibercriminosos, um invasor poderá não só acompanhar e monitorar a sua atividade online, como também roubar diversos dados sensíveis como senhas de redes sociais e senhas de banco.

Sobre o roteador DIR-615 da D-Link, “basta que o atacante esteja conectado à rede, ele poderia acessar o roteador via Telnet e utilizar uma conta de ‘backdoor’ admin para ter acesso total a administração do roteador”, conta Lima. “Isso porque a senha de acesso é gerada dinamicamente utilizando os últimos quatro números do endereço MAC do roteador — informação esta que seria facilmente obtida através de uma simples requisição ARP ou realizando um ataque de força-bruta”.

A desativação do Telnet também não ajuda nesta situação, sendo necessária a atualização do roteador, como você pode checar no alerta acima. O pesquisador Oliveira Lima disse o seguinte: “Na versão de firmware 20.11, o recurso Telnet está ativo independentemente da opção escolhida pelo usuário na interface web. Ou seja, mesmo que o usuário desabilite o Telnet, não irá fazer a menor diferença; algo confirmado pela fabricante”.

O backdoor presente no firmware do roteador se encontrava em aparelhos comercializados no Brasil e em Taiwan, segundo o pesquisador. Todos os roteadores vendidos nos Estados Unidos, por exemplo, não possuíam este problema.

O DIR-615 é um dos dispositivos mais vendidos no Brasil, com um preço médio de R$ 70. Vale relembrar que a D-Link já liberou um patch de correção para o backdoor, mas é necessário atualizar o roteador para fechar esta porta.

Fonte: Tecmundo

Falha em roteadores da D-Link aguarda conserto

D-LinkBackdoor permite que malfeitores façam modificações na configuração de um roteador sem necessidade de autenticação.

A D-Link prometeu consertar até o fim de Outubro uma falha de segurança no firmware de alguns de seus roteadores, que possibilita que malfeitores mudem as configurações de um aparelho sem necessidade de um nome de usuário ou senha.

O problema está relacionado a um “backdoor” (porta dos fundos) incorporado ao firmware de alguns roteadores da empresa, que permite contornar o processo usual de autenticação nas interfaces de administração via web.

A vulnerabilidade foi descoberta e reportada por Craig Heffner, um pesquisador da Tactical Network Solutions. Segundo ele, “se o identificador de um navegador (ou “User Agent String”) for configurado para xmlset_roodkcableoj28840ybtide é possível acessar a interface web do roteador sem nenhum tipo de autenticação, e ver e modificar as configurações do aparelho. Quando lido ao contrário, parte do valor forma a frase “edit by 04882 joel backdoor.”

A D-Link informou via e-mail que irá lançar até o final de Outubro atualizações de firmware para resolver a vulnerabilidade nos roteadores afetados. As atualizações serão listadas em uma página de segurança no site da D-Link e na seção de downloads da página de suporte de cada produto afetado.

A empresa não esclareceu porque o backdoor foi colocado no firmware, nem quais modelos de seus roteadores são afetados. Mas de acordo com Heffner eles dão o DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-5240 e possivelmente o DIR-615. Outros dois modelos, o BRL-04UR e BRL-04CW, produzidos pela Planex Communications, também podem estar vulneráveis, já que parecem usar o mesmo firmware dos aparelhos da D-Link.

O risco de acesso não autorizado é maior nos roteadores que tenham sido configurados para gerenciamento remoto e tenham suas interfaces de administração acessíveis via Internet. Entretanto, mesmo quando a interface só pode ser acessada através da rede interna, o padrão nos aparelhos da D-Link, este backdoor ainda pode ser uma ameaça já que qualquer visitante que se conecte à rede sem fio ou qualquer malware rodando em um computador dentro da rede pode explorá-lo para fazer mudanças não autorizadas na configuração do roteador.

Tais mudanças podem ter sérias consequências de segurança. Por exemplo, trocar o endereço dos servidores DNS usados pelo roteador, e por consequência por todos os aparelhos conectados a ele, pelo endereço de servidores controlados por um malfeitor pode dar a ele a capacidade de redirecionar os usuários a sites maliciosos sempre que tentarem acessar as versões legítimas.

“Proprietários de aparelhos afetados podem minimizar os riscos certificando-se de que seu roteador exija uma senha para conexão à rede Wi-Fi e que o acesso remoto esteja desabilitado”, disse a D-Link.

“Se você receber e-mails não solicitados alertando sobre vulnerabilidades de segurança e lhe pedindo para agir para corrigí-la, por favor os ignore”, disse a empresa. “Clicar em qualquer link em tais mensagens pode permitir o acesso não autorizado ao roteador. Nem a D-Link nem seus parceiros e revendedores irão enviar mensagens não solicitadas pedindo para você clicar ou instalar algo”.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: PCWorld