freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

钟馗之眼(ZoomEye)关于D-Link后门的统计分析报告
2013-10-25 12:21:08

背景

安全研究员逆向工程发现嵌入式设备商台湾友讯科技(D-Link)路由器多个型号

使用的固件系统中存在后门。D-Link 的固件由其美国子公司Alpha Networks开发。黑客只需要将浏览器User-Agent标志修改为:xmlset_roodkcableoj28840ybtide,再访问路由器IP地址,即可无需经过验证访问路由器的Web管理界面修改设备设置。


影响型号包括:

DIR-100、
DIR-120、
DI-524、
DI-524UP、
DI-604S、
DI-604UP、
DI-604+、
TM-G5240、
BRL-04R、
BRL-04UR、
BRL-04CW、
BRL-04FWU


其中后门字符串roodkcableoj28840ybtide从后往前读是“Edit by 04882 Joel Backdoor”,其中Joel可能是Alpha Networks的资深技术总监Joel Liu。不知道这是否是故意留的后门,  考虑到这家公司的开发团队是美国的公司,不知道是否与斯诺登事件是否有关联。


ZoomEye.org全球数据统计:

知道创宇安全研究团队,利用大数据扫描分析,绘制了全球范围内D-Link的部署地图。截图如下:

公网上可访问的D-Link设备有 62460个。


受影响的型号分布

根据报道受影响的版本,在公网可访问数量占公网上可访问的全部D-Link数量比例为:

参考:

关于后门的原始分析信息参考:http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/HYPERLINK    

中文翻译:http://blog.jobbole.com/49959/

我是如何反编译D-Link路由器固件程序并发现它的后门的

http://www.freebuf.com/articles/wireless/14964.html

本文作者:, 转载请注明来自FreeBuf.COM

# 知道创宇 # zoomeye # 路由漏洞 # 路由后门 # routervuls
被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦