Tp-link Backdoor

Existe una interfaz de depuraci ón via web con privilegios de root y credenciales est áticas en routers TP-Link WDR740

 

Modelos: WR740N, WR740ND y posiblemente otros
Actualizaci ón: Se ha reportado en foros que los modelos WR743ND, WR842ND, WA-901ND, WR941N, WR941ND, WR1043ND, WR2543ND, MR3220, MR3020, WR841N tambi é n tienen esta shell de depuraci ón
Firmwares: 3.12.11 Build 111130 Rel.55312n y posiblemente otros
Fecha: 18/06/2012
Severidad: Alta
 
Impacto: Consola web con privilegios root que puede ser usada como puerta trasera.
Vector de ataque: Remoto y local
Soluci ón: Sin soluci ón

El router TP-Link WDR740ND/WDR740N cuenta con una interfaz web oculta para depuraci ón que podr ía servir de puerta trasera a atacantes localizada en/clusters/containers.

El nombre de usuario de esta inclula esta guardado est áticamente en el binario del servidor HTTP y la contrase n'a no puede ser cambiada desde la interfaz web, por lo que sort pre es valida la siguiente cuenta:

Usuario: osteam
Contrase a: 5up

La sort de esta vulnerabilidad es alta debido a que a travé s de esta consola se pueden restart comandos en el sistema con privilegios root como agregar reglas de redirecci ón de trafico y modificar archivos de configuraci ón.

 

Para acceder a esta inclula solo se necesita ir

 

Http://www.bkjia.com/userRpmNatDebugRpm26525557/linux_cmdline.html

E introducir las credenciales "osteam: 5up"

 
 

Posteriormente al descubrimiento de la vulnerabilidad, al investigar en Google se encontr óun sitio rusodonde se menciona el URL pero no se encuentra reportada como vulnerabilidad.

Paulino Calder ón
Calderon () websec. mx