Per avere carta bianca, un malintenzionato dovrebbe solamente modificare la stringa user agent del suo browser web prima di connettersi con l'IP del router impostandola così come segue "xmlset*********leoj2***0ybtide" (abbiamo volutamente omesso alcuni caratteri).
Lo user agent è la stringa di caratteri con cui ciascun browser web si identifica ogniqualvolta si visita una pagina web. Esso contiene, di solito, il nome del browser, la versione ed il motore di rendering utilizzato (per verificare la propria stringa user agent, suggeriamo di visitare questa pagina). Per maggiori informazioni sulla modifica dell'user agent, consigliamo la lettura dell'articolo Sourceforge guarda agli adware: come scaricare solo ciò che interessa).
Modificando lo user agent, quindi, un malintenzionato potrebbe accedere indisturbato al pannello di amministrazione di alcuni router D-Link (da remoto, nel caso in cui sia attiva l'amministrazione remota del device oppure dalla rete locale), variare le configurazioni ed eventualmente reindirizzare tutto il traffico della LAN verso un sistema di propria scelta o modificare i server DNS di riferimento. L'aggressore potrà così spiare il traffico dati altrui raccogliendo dati personali ed informazioni sensibili oppure mettendo in piedi veri e propri attacchi phishing.
Heffner ha poi evidenziato un curioso particolare: se si legge al contrario la stringa che di fatto attiva la backdoor e permette di saltare l'autenticazione eliminando i caratteri numerici, si ottiene "edited by Joel backdoor". Secondo il ricercatore, quindi, si tratta di una funzionalità voluta, lasciata quindi abilitata di default dal produttore. "Suppongo che gli sviluppatori abbiano ad un certo punto realizzato che qualche servizio o programma aveva la necessità di modificare in modo automatico le impostazioni del router", scrive Heffner. "Dal momento che il server web sul router richiede username e password, il programmatore Joel deve aver esclamato: ecco il mio astuto piano!" E si è deciso per l'aggiunta della backdoor.
Pare però che molti router D-Link oggi ampiamente usati contengano la backdoor. I modelli elencati dal ricercatore statunitense sono i seguenti: DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240. Sebbene non sia stato ancora confermato, anche il DIR-615 potrebbe essere affetto dalla medesima problematica.
Cosa ancor più grave, sempre secondo Heffner, è che sebbene la sua scoperta sia avvenuta nell'ultimo fine settimana, l'esistenza della backdoor sarebbe nota ai cracker almeno da tre anni. Il ricercatore ha infatti rinvenuto la "stringa di Joel" in un forum russo dai contenuti piuttosto "dubbi".
COMMENTA