20.06.2012 | 11:46

Adam Haertle

Wbudowany root shell na routerach TP-Link

Analiza oprogramowania wbudowanego w urządzeniach sieciowych może przynieść ciekawe odkrycia. A to ktoś znajdzie link, umożliwiający dostęp do kamery, a to konto serwisowe w routerze. A czasem root shella w popularnym routerze Wifi.

Kanadyjska firma Websec zainteresowała się routerami firmy TP-Link, a konkretnie modelem WR740N i WR740ND (na swojej stronie podają, że były to modele WDR740N i WDR740ND, ale takie nie istnieją w ofercie TP-Link). Analiza plików binarnych wbudowanego serwera HTTP ukazała niezwykle ciekawą funkcjonalność.

Jak dostać roota na routerze

Okazało się, że serwer www ma zapisany w kodzie ukryty link,

http://[adres IP]/userRpmNatDebugRpm26525557/linux_cmdline.html

Po wejściu na ten adres użytkownikowi ukazuje się klasyczny webshell.

Webshell na routerze TP-Link (źródło: Websec)

Oprócz linka, w kodzie zapisane są również dane niezbędne do logowania: użytkownik to osteam, a hasło 5up.

Wyszukanie fragmentu linka backdoora w Google pokazało, że pierwsi odkryli go ponad rok temu Rosjanie, jednak nie podzieli się nim z tą częścią świata, która nie rozumie cyrylicy. Z wpisów na rosyjskich forach wynika, że ta ukryta funkcjonalność dostępna jest także przynajmniej w modelach WR741ND oraz WR1043ND.

Na co pozwala dostęp?

Jak twierdzą odkrywcy, po wejściu na podany link otrzymujemy dostęp do powłoki z uprawnianiami administracyjnymi – możemy więc zrobić wszystko. Na pewno możemy modyfikować pliki konfiguracyjne i ustawiać złośliwe ścieżki routingu. Zapewne możemy także np. usunąć kluczowe pliki i wyłączyć router z eksploatacji. Podejrzewamy, że w ten sposób można także np. odczytać hash hasła do sieci bezprzewodowej lub zainstalować sniffer sieciowy.

Jak zabezpieczyć swój router?

Przede wszystkim w opisie problemu pokazano jedynie dostęp do routera po wewnętrznym IP – zatem jest całkiem prawdopodobne, że webshell nie jest dostępny z zewnątrz.

Oczywiście ze względu na zapisanie parametrów dostępu bezpośrednio w skompilowanym pliku binarnym, nie mamy możliwości zmiany hasła lub wyłączenia dostępu. Prawdopodobnie w celu usunięcia problemu trzeba będzie zaczekać na aktualizację oprogramowania od dostawcy.

Ze względu na popularność routerów tego producenta w Polsce prosimy czytelników o weryfikację, czy problem faktycznie dotyczy wskazanych urządzeń – i być może również innych modeli TP-Link. Jeśli możecie potwierdzić lub zaprzeczyć, podajcie również wersję oprogramowania, w które wyposażone jest Wasze urządzenie. I sprawdźcie, czy da się zalogować zdalnie :)

Aktualizacja
W oparciu o komentarz naszych użytkowników (dziękujemy!) możemy uzupełnić wpis o następujące informacje:
  • Jeśli jest włączona opcja Security -> Remote Management -> 255.255.255.255 to serwer www routera jest dostępny z zewnątrz i błąd można wykorzystać zdalnie! W pozostałych przypadkach wykorzystanie błędu wymaga dostępu do sieci lokalnej (przez WiFi lub kabel/port LAN)
  • W menu Security -> Local Management możemy określić, które MAC adresy będą miały w sieci lokalnej dostęp do panelu zarządzania routerem
  • Wykorzystanie błędu może wymagać (mamy różne doniesienia – podobno można anulować żądanie hasła) wcześniejszego zalogowania się hasłem i loginem administratora routera (jeśli nie zmieniliście z domyślnego admin/admin to polecamy interwencję)
  • Potwierdzone działanie na następujących modelach: TL-WR740N, TL-WR740ND, TL-WR743ND, TL-WR842ND, WA-901ND, TL-WR941N, TL-WR941ND, TL-WR1043ND, WR2543ND, TL-MR3220, TL-MR3020, TL-WR841N (na dwóch ostatnich link działa, ale brak dostępu – prawdopodobnie inny login/hasło). Nie działa na modelach TL-WR340G, TL-WR543G. Dla TD-W8901G raporty są rozbieżne.
  • Prostym rozwiązaniem problemu jest zmiana wbudowanego oprogramowania na dd-wrt (tu więcej na ten temat) lub OpenWRT
Powrót

Komentarze

  • 2012.06.20 12:33 Slawek

    Na TL-WR1043ND faktycznie jest, natomiast bez podania loginu admina i hasła do routera nie da się wykonać żadnych poleceń.

    Odpowiedz
  • 2012.06.20 12:42 Ali

    Model TL-MR3220 – działa

    Odpowiedz
    • 2012.06.20 12:55 Ali

      Wygląda na to że tylko z wewnątrz sieci

      Odpowiedz
      • 2014.02.08 21:08 mac

        na MR3220 dziala … jesli juz w tej sesji przegladarki byles zalogowany do strony router’a. Jesli nie byles zalogowany to zapyta o login/haslo, mozesz kliknac Cancel wowczas strona sie wyswietli to fakt, ale przy probie wykonania czegokolwiek natychmiast zapyta ponownie o login/haslo.
        Jak zwykle poplyna jelenie z admin/admin :]

        Odpowiedz
  • 2012.06.20 13:01 Nicram

    Na TL-WR743ND problem występuje (najnowszy firmware).

    Odpowiedz
  • 2012.06.20 13:45 Michał

    Na TP-Link MR3020 webshell jest dostępny pod wskazanym adresem (na interfejsie LAN), ale nie można wykonać poleceń – byćmoże inny login/hasło.

    Odpowiedz
  • 2012.06.20 13:58 kris

    Zmieniłem soft na TP-Link TL-WR1043ND na dd-wrt i z tego co widzę problem nie istnieje. Więc może to jest rozwiązanie kwestii bezpieczeństwa?

    Odpowiedz
  • 2012.06.20 14:03 Tomek

    Na WR740N działa ale na hasle do routera (admin/admin). Zmiana hasła również zmienia hasło do shella.

    Odpowiedz
  • 2012.06.20 14:55 jell

    1043nd – dziala
    dzieki temu mozna recznie ustawic natowanie bo przy orginalnym sofcie, nie pozwa np. miec 2 wewn. serwerow ssh, czy www (generalnie na tych samych portach, na roznych wewn. adresach ip) przenatowanych na roznych portach na zewn.

    procz tp-linka nie znam firmy narzucajacej takie ograniczenie…

    Odpowiedz
  • 2012.06.20 14:59 jell

    dd-wrt? etam, lepiej openwrt ;)

    Odpowiedz
  • 2012.06.20 16:49 and

    TL-WR842ND działa.

    Odpowiedz
  • 2012.06.20 17:20 vte

    WA-901ND, WR2543ND. Obydwa z najnowszym softem, na obydwu działa.

    Odpowiedz
  • 2012.06.20 17:48 jasiu

    na TL-WR841N działa, ale login/pass inny

    Odpowiedz
  • 2012.06.20 17:51 Adam

    Mi wywala bym podał login i hasło. (Chyba to jest ok, myślałem, ze bez hasła można tam wejść)
    Ani nie ma podanych danych do logowania tam, puste pola.
    W „Security -> Remote Management” mam same zera.

    Firmware Version: 3.11.7 Build 100603 Rel.56412n
    Hardware Version: WR740N v1/v2 00000000

    Tylko już nie sprawdzę rzeczy dotyczących haseł na razie bo hasła nie znam, mam zapisane w Operze a nie wiem jak się „wylogować” :D

    Odpowiedz
  • 2012.06.20 18:05 johnny

    tl-wr740n ver 2,4 działa

    Odpowiedz
    • 2012.08.26 21:08 fl

      dziala, jak podasz poprawny login i haslo.

      Odpowiedz
  • 2012.06.20 18:29 greg

    TL-WR1043ND nie wpuszcza na osteam/5up. Wpuści tylko jeśli wcześniej zalogujemy się jako admin.

    Odpowiedz
  • 2012.06.20 19:49 ton

    U mnie na TD-W8901G wersja 6 firmware 6.0.0 Build 120418 Rel.34102 nic takiego nie występuje.

    Odpowiedz
  • 2012.06.20 20:12 zbyszek

    TD-W8901G 3.0.1 Build 100901 Rel.23594 – nie występuje

    Odpowiedz
  • 2012.06.20 20:53 Misiek

    Na MR-3420 również da się wejść, dla sprawdzenia wpisałem 'help’ i się wywołało :)

    Firmware Version: 3.12.19 Build 110617 Rel.39329n
    Hardware Version: MR3420 v1 00000000

    Odpowiedz
  • 2012.06.20 22:11 Łukasz

    Działa na WR841N i pasuje podany login oraz hasło w newsie :)

    Firmware Version:
    3.12.5 Build 100929 Rel.57776n
    Hardware Version:
    WR841N v6/v7 00000000

    Odpowiedz
  • 2012.06.20 22:33 ppp

    a jednak działa na TL-WR340G z tym, że hasło jest niepoprawne i tylko z lanu.. na rutku wyłączony zdalny.

    Firmware Version:
    4.17.11 Build 110419 Rel.63487n
    Hardware Version:
    WR340G 4.0 00000000

    Username or Password is incorrect.
    Please refer to the troubleshooting below:

    […]

    Odpowiedz
  • 2012.06.20 22:34 Sebastian

    Firmware: 3.12.2 Build 100820 Rel.41891n

    Link działa, jednak poleceń nie można wykonywać, ponieważ za każdym razem pyta o hasło.

    Odpowiedz
  • 2012.06.21 20:15 BoBo

    Na AP TL-WA701ND v1 link działa, ale login i hasło potrzebne do zalogowania jest już takie, jakie sami ustawiamy w web panelu APa.

    Odpowiedz
  • 2012.07.11 08:12 amarti

    link działa również z zewnątrz pod warunkiem włączenia opcji remote mamagement.

    Odpowiedz
  • 2012.11.09 08:40 Troll

    1042ND też występuje, a to zmodyfikowany 1043ND.

    Odpowiedz
  • 2014.12.27 18:02 MR3020V1adminadmin

    MR3020V1: podatny od LANa po wczesniejszym zalogowaniu do zwyklego panelu

    Wersja Firmware:
    3.14.4 Build 130225 Rel.31783n
    Wersja sprzętowa:
    MR3020 v1 00000000

    Odpowiedz
  • 2015.11.03 22:15 Karol

    model MR3220 V2.3 podatny, od LAN-a, co bardziej, już ktoś zdołał się nim zająć, podmienione oprogramowanie. Router działał jako dostęp do kamer.

    Odpowiedz

Zostaw odpowiedź do Misiek

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wbudowany root shell na routerach TP-Link

Komentarze