20.06.2012 | 11:46

Adam Haertle

Wbudowany root shell na routerach TP-Link

Analiza oprogramowania wbudowanego w urządzeniach sieciowych może przynieść ciekawe odkrycia. A to ktoś znajdzie link, umożliwiający dostęp do kamery, a to konto serwisowe w routerze. A czasem root shella w popularnym routerze Wifi.

Kanadyjska firma Websec zainteresowała się routerami firmy TP-Link, a konkretnie modelem WR740N i WR740ND (na swojej stronie podają, że były to modele WDR740N i WDR740ND, ale takie nie istnieją w ofercie TP-Link). Analiza plików binarnych wbudowanego serwera HTTP ukazała niezwykle ciekawą funkcjonalność.

Jak dostać roota na routerze

Okazało się, że serwer www ma zapisany w kodzie ukryty link,

http://[adres IP]/userRpmNatDebugRpm26525557/linux_cmdline.html

Po wejściu na ten adres użytkownikowi ukazuje się klasyczny webshell.

Webshell na routerze TP-Link (źródło: Websec)

Oprócz linka, w kodzie zapisane są również dane niezbędne do logowania: użytkownik to osteam, a hasło 5up.

Wyszukanie fragmentu linka backdoora w Google pokazało, że pierwsi odkryli go ponad rok temu Rosjanie, jednak nie podzieli się nim z tą częścią świata, która nie rozumie cyrylicy. Z wpisów na rosyjskich forach wynika, że ta ukryta funkcjonalność dostępna jest także przynajmniej w modelach WR741ND oraz WR1043ND.

Na co pozwala dostęp?

Jak twierdzą odkrywcy, po wejściu na podany link otrzymujemy dostęp do powłoki z uprawnianiami administracyjnymi – możemy więc zrobić wszystko. Na pewno możemy modyfikować pliki konfiguracyjne i ustawiać złośliwe ścieżki routingu. Zapewne możemy także np. usunąć kluczowe pliki i wyłączyć router z eksploatacji. Podejrzewamy, że w ten sposób można także np. odczytać hash hasła do sieci bezprzewodowej lub zainstalować sniffer sieciowy.

Jak zabezpieczyć swój router?

Przede wszystkim w opisie problemu pokazano jedynie dostęp do routera po wewnętrznym IP – zatem jest całkiem prawdopodobne, że webshell nie jest dostępny z zewnątrz.

Oczywiście ze względu na zapisanie parametrów dostępu bezpośrednio w skompilowanym pliku binarnym, nie mamy możliwości zmiany hasła lub wyłączenia dostępu. Prawdopodobnie w celu usunięcia problemu trzeba będzie zaczekać na aktualizację oprogramowania od dostawcy.

Ze względu na popularność routerów tego producenta w Polsce prosimy czytelników o weryfikację, czy problem faktycznie dotyczy wskazanych urządzeń – i być może również innych modeli TP-Link. Jeśli możecie potwierdzić lub zaprzeczyć, podajcie również wersję oprogramowania, w które wyposażone jest Wasze urządzenie. I sprawdźcie, czy da się zalogować zdalnie :)

Aktualizacja
W oparciu o komentarz naszych użytkowników (dziękujemy!) możemy uzupełnić wpis o następujące informacje:
  • Jeśli jest włączona opcja Security -> Remote Management -> 255.255.255.255 to serwer www routera jest dostępny z zewnątrz i błąd można wykorzystać zdalnie! W pozostałych przypadkach wykorzystanie błędu wymaga dostępu do sieci lokalnej (przez WiFi lub kabel/port LAN)
  • W menu Security -> Local Management możemy określić, które MAC adresy będą miały w sieci lokalnej dostęp do panelu zarządzania routerem
  • Wykorzystanie błędu może wymagać (mamy różne doniesienia – podobno można anulować żądanie hasła) wcześniejszego zalogowania się hasłem i loginem administratora routera (jeśli nie zmieniliście z domyślnego admin/admin to polecamy interwencję)
  • Potwierdzone działanie na następujących modelach: TL-WR740N, TL-WR740ND, TL-WR743ND, TL-WR842ND, WA-901ND, TL-WR941N, TL-WR941ND, TL-WR1043ND, WR2543ND, TL-MR3220, TL-MR3020, TL-WR841N (na dwóch ostatnich link działa, ale brak dostępu – prawdopodobnie inny login/hasło). Nie działa na modelach TL-WR340G, TL-WR543G. Dla TD-W8901G raporty są rozbieżne.
  • Prostym rozwiązaniem problemu jest zmiana wbudowanego oprogramowania na dd-wrt (tu więcej na ten temat) lub OpenWRT
Powrót

Komentarze

  • 2012.06.20 12:33 Slawek

    Na TL-WR1043ND faktycznie jest, natomiast bez podania loginu admina i hasła do routera nie da się wykonać żadnych poleceń.

    Odpowiedz
  • 2012.06.20 12:42 Ali

    Model TL-MR3220 – działa

    Odpowiedz
    • 2012.06.20 12:55 Ali

      Wygląda na to że tylko z wewnątrz sieci

      Odpowiedz
      • 2014.02.08 21:08 mac

        na MR3220 dziala … jesli juz w tej sesji przegladarki byles zalogowany do strony router’a. Jesli nie byles zalogowany to zapyta o login/haslo, mozesz kliknac Cancel wowczas strona sie wyswietli to fakt, ale przy probie wykonania czegokolwiek natychmiast zapyta ponownie o login/haslo.
        Jak zwykle poplyna jelenie z admin/admin :]

        Odpowiedz
  • 2012.06.20 13:01 Nicram

    Na TL-WR743ND problem występuje (najnowszy firmware).

    Odpowiedz
  • 2012.06.20 13:45 Michał

    Na TP-Link MR3020 webshell jest dostępny pod wskazanym adresem (na interfejsie LAN), ale nie można wykonać poleceń – byćmoże inny login/hasło.

    Odpowiedz
  • 2012.06.20 13:58 kris

    Zmieniłem soft na TP-Link TL-WR1043ND na dd-wrt i z tego co widzę problem nie istnieje. Więc może to jest rozwiązanie kwestii bezpieczeństwa?

    Odpowiedz
  • 2012.06.20 14:03 Tomek

    Na WR740N działa ale na hasle do routera (admin/admin). Zmiana hasła również zmienia hasło do shella.

    Odpowiedz
  • 2012.06.20 14:55 jell

    1043nd – dziala
    dzieki temu mozna recznie ustawic natowanie bo przy orginalnym sofcie, nie pozwa np. miec 2 wewn. serwerow ssh, czy www (generalnie na tych samych portach, na roznych wewn. adresach ip) przenatowanych na roznych portach na zewn.

    procz tp-linka nie znam firmy narzucajacej takie ograniczenie…

    Odpowiedz
  • 2012.06.20 14:59 jell

    dd-wrt? etam, lepiej openwrt ;)

    Odpowiedz
  • 2012.06.20 16:49 and

    TL-WR842ND działa.

    Odpowiedz
  • 2012.06.20 17:20 vte

    WA-901ND, WR2543ND. Obydwa z najnowszym softem, na obydwu działa.

    Odpowiedz
  • 2012.06.20 17:48 jasiu

    na TL-WR841N działa, ale login/pass inny

    Odpowiedz
  • 2012.06.20 17:51 Adam

    Mi wywala bym podał login i hasło. (Chyba to jest ok, myślałem, ze bez hasła można tam wejść)
    Ani nie ma podanych danych do logowania tam, puste pola.
    W „Security -> Remote Management” mam same zera.

    Firmware Version: 3.11.7 Build 100603 Rel.56412n
    Hardware Version: WR740N v1/v2 00000000

    Tylko już nie sprawdzę rzeczy dotyczących haseł na razie bo hasła nie znam, mam zapisane w Operze a nie wiem jak się „wylogować” :D

    Odpowiedz
  • 2012.06.20 18:05 johnny

    tl-wr740n ver 2,4 działa

    Odpowiedz
    • 2012.08.26 21:08 fl

      dziala, jak podasz poprawny login i haslo.

      Odpowiedz
  • 2012.06.20 18:29 greg

    TL-WR1043ND nie wpuszcza na osteam/5up. Wpuści tylko jeśli wcześniej zalogujemy się jako admin.

    Odpowiedz
  • 2012.06.20 19:49 ton

    U mnie na TD-W8901G wersja 6 firmware 6.0.0 Build 120418 Rel.34102 nic takiego nie występuje.

    Odpowiedz
  • 2012.06.20 20:12 zbyszek

    TD-W8901G 3.0.1 Build 100901 Rel.23594 – nie występuje

    Odpowiedz
  • 2012.06.20 20:53 Misiek

    Na MR-3420 również da się wejść, dla sprawdzenia wpisałem 'help’ i się wywołało :)

    Firmware Version: 3.12.19 Build 110617 Rel.39329n
    Hardware Version: MR3420 v1 00000000

    Odpowiedz
  • 2012.06.20 22:11 Łukasz

    Działa na WR841N i pasuje podany login oraz hasło w newsie :)

    Firmware Version:
    3.12.5 Build 100929 Rel.57776n
    Hardware Version:
    WR841N v6/v7 00000000

    Odpowiedz
  • 2012.06.20 22:33 ppp

    a jednak działa na TL-WR340G z tym, że hasło jest niepoprawne i tylko z lanu.. na rutku wyłączony zdalny.

    Firmware Version:
    4.17.11 Build 110419 Rel.63487n
    Hardware Version:
    WR340G 4.0 00000000

    Username or Password is incorrect.
    Please refer to the troubleshooting below:

    […]

    Odpowiedz
  • 2012.06.20 22:34 Sebastian

    Firmware: 3.12.2 Build 100820 Rel.41891n

    Link działa, jednak poleceń nie można wykonywać, ponieważ za każdym razem pyta o hasło.

    Odpowiedz
  • 2012.06.21 20:15 BoBo

    Na AP TL-WA701ND v1 link działa, ale login i hasło potrzebne do zalogowania jest już takie, jakie sami ustawiamy w web panelu APa.

    Odpowiedz
  • 2012.07.11 08:12 amarti

    link działa również z zewnątrz pod warunkiem włączenia opcji remote mamagement.

    Odpowiedz
  • 2012.11.09 08:40 Troll

    1042ND też występuje, a to zmodyfikowany 1043ND.

    Odpowiedz
  • 2014.12.27 18:02 MR3020V1adminadmin

    MR3020V1: podatny od LANa po wczesniejszym zalogowaniu do zwyklego panelu

    Wersja Firmware:
    3.14.4 Build 130225 Rel.31783n
    Wersja sprzętowa:
    MR3020 v1 00000000

    Odpowiedz
  • 2015.11.03 22:15 Karol

    model MR3220 V2.3 podatny, od LAN-a, co bardziej, już ktoś zdołał się nim zająć, podmienione oprogramowanie. Router działał jako dostęp do kamer.

    Odpowiedz

Zostaw odpowiedź do Atak na stare routery ADSL | elmohero

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wbudowany root shell na routerach TP-Link

Komentarze