jueves, 17 de octubre de 2013

Buscando dispositivos Dlink con el famoso Malware

Seguro que has visto en las webs del sector la noticia del famoso Malware de Dlink.

Investigando un poco sobre el asunto he podido observar numerosos exploit para otras vulnerabilidades, por lo que parece ser esta gente suele fallar mucho.

El caso que vamos a ver hoy es un malware instalado en el Firmware del dispositivo, el cual nos permite autenticarnos en el sistema con tan solo realizar una petición con un User Agent concreto. El reversing lo podéis leer aquí.

Buscando por Shodan no he conseguido acceder a ninguno de los que me muestra. Desconozco si están protegidos de algún modo, o son honeypots, o simplemente que no puedo buscar por mi limitaciones en la cuenta gratis.


Me ha dado por buscar alguno por mi mismo. He usado rangos de ip´s de los casos encontrados por Shodan, para hacerme una idea. Si es un router implementado por algún ISP, seguramente, por proximidad geográfica haya varios modelos en un rango cercano.

Usamos el script NSE HTTP Headers para hacer una petición Get o Head al servidor web, por lo que si metemos un -Pn -p80 y añadimos un -T5, podemos hacerlo rápido. El script nos permite pasarle como parámetros el User-Agent concreto que consigue acceso al panel del router sin autenticación, xmlset_roodkcableoj28840ybtide.


Es interesante usar esta opción cuando hagamos scans a servidores web, ya que hay numerosas reglas Snort para bloquear los User Agent que traen por defecto NMAP y Nessus, por decir alguno.

Si no cambiamos el User Agent de nuestro browser nos pedirá Login, pero si lo cambiamos, por ejemplo con User Agent Switcher podremos acceder al panel de control del dispositivo, permitiéndonos hacer maldades varias.



Por si acaso he borrado los logs, pero registra la visita, imagino que al no haber pasado por el proceso de Login. No creo que vaya a la cárcel, pero el organismo responsable de esa IP me preocupa un poco.


Espero que os haya gustado la prueba de concepto. Gracias por leerme.