近日，安全研究人員Craig Heffner公開(kāi)表示，其已在多款D-Link路由器固件中發(fā)現(xiàn)了一個(gè)后門程序。

Heffner是Tactical Networks Solutions安全公司的一名漏洞研究員，他在/dev/ttyS0網(wǎng)站上發(fā)表了一篇博客，表示其在一個(gè)無(wú)聊的周六晚上，在通過(guò)逆向分析D-Link路由器固件中的web服務(wù)器軟件時(shí)，發(fā)現(xiàn)路由器中包含有后門程序漏洞。

在使用Binwalk工具提取出web服務(wù)器二進(jìn)制文件并通過(guò)IDA對(duì)二進(jìn)制文件進(jìn)行分析后，Heffner發(fā)現(xiàn)其實(shí)際上是ACME實(shí)驗(yàn)室里的一個(gè)開(kāi)源HTTP服務(wù)器，即Thttpd web服務(wù)器執(zhí)行的結(jié)果，該服務(wù)器此前已經(jīng)遭到D-Link子公司Alphanetworks的研發(fā)人員的修改。

該公司使用的Thttpd版本為2.23，該版本中包含有許多漏洞，其中一些漏洞可以在某些情況下被黑客利用并允許黑客進(jìn)行遠(yuǎn)程代碼執(zhí)行。然而，Heffner也指出了另一個(gè)被故意引入的漏洞，有了這個(gè)新的漏洞，其他的漏洞都可以被徹底忽略。

Alphanetworks公司研發(fā)人員對(duì)Thttpd所做的修改包括一個(gè)名為alpha_auth_check的函數(shù)，盡管此前該服務(wù)器已經(jīng)包含了一個(gè)本地的可用于驗(yàn)證用戶是否已經(jīng)登錄的check_login函數(shù)，但研發(fā)人員還是對(duì)其做了修改。該新的自定義函數(shù)主要用于檢查用戶請(qǐng)求中的某些信息并決定是否要跳過(guò)本地的身份驗(yàn)證步驟。

自定義函數(shù)檢查的信息包括用戶對(duì)圖形和公共目錄的合法請(qǐng)求信息，之所以要對(duì)該請(qǐng)求進(jìn)行檢查，其目的應(yīng)該是為了能夠顯示D-Link品牌頁(yè)面，要求用戶登錄或訪問(wèn)無(wú)需用戶登錄即可查看的信息。

除此之外，自定義函數(shù)還負(fù)責(zé)檢查瀏覽器用戶代理，如果瀏覽器用戶代理字符串與“xmlset_roodkcableoj28840ybtide”相匹配，那么身份驗(yàn)證步驟就能再次被跳過(guò)。

對(duì)于該字符串，如果我們從后往前讀，即可發(fā)現(xiàn)相關(guān)可能的負(fù)責(zé)人名字，即“edited by 04882 joel backdoor”。

實(shí)際上，修改用戶代理頭信息的影響并不大，用戶代理頭信息是HTTP請(qǐng)求的一部分，但這樣的修改將允許D-Link設(shè)備開(kāi)始運(yùn)行固件并面臨未經(jīng)身份驗(yàn)證即可被黑客直接登陸訪問(wèn)的風(fēng)險(xiǎn)。

通過(guò)搜索引擎Shodan做一項(xiàng)簡(jiǎn)單的調(diào)查，我們即可發(fā)現(xiàn)目前使用Alphanetworks版thttpd的設(shè)備超過(guò)了3,200臺(tái)。

通過(guò)分析包含在固件中的另一個(gè)二進(jìn)制文件，可以發(fā)現(xiàn)該后門程序的擬定用途。該二進(jìn)制文件/bin/xmlsetc將向設(shè)備發(fā)送用戶代理頭文件中的字符串和請(qǐng)求信息，并合法修改路由器的配置。

Heffner在博客中寫道：“我估計(jì)，開(kāi)發(fā)人員認(rèn)為一些程序或服務(wù)需要帶有自動(dòng)修改設(shè)備設(shè)置的功能，他們覺(jué)得web服務(wù)器已經(jīng)包含能夠修改這些設(shè)置的代碼，因此他們決定不管是否需要修改設(shè)備設(shè)置，都僅向web服務(wù)器發(fā)送請(qǐng)求信息。而這里存在的唯一的問(wèn)題是，web服務(wù)器需要用戶名和密碼，而最終用戶可能會(huì)修改用戶名和密碼。于是，Joel靈光一現(xiàn)，跳起來(lái)激動(dòng)的說(shuō)：‘不用擔(dān)心，我想到了一個(gè)完美的計(jì)劃可以搞定它!’。

據(jù)Heffner介紹，以下幾款D-Link和Planex(使用相同的固件)路由器均帶有該后門程序：

DIR-100

DI-524

DI-524UP

DI-604S

DI-604UP

DI-604+

TM-G5240

BRL-04UR

BRL-04CW

對(duì)此，D-Link在接受PCWorld采訪的時(shí)候表示，他們將在本月月底之前發(fā)布安全補(bǔ)丁修復(fù)該漏洞。

“目前我們正在積極的與該后門程序發(fā)現(xiàn)人員進(jìn)行溝通，同時(shí)我們也在不斷的檢查我們的其他產(chǎn)品以確保這些漏洞一一得到修復(fù)”，D-Link公司在其官方技術(shù)支持頁(yè)面上如此寫道。同時(shí)該公司還提醒用戶：在無(wú)需遠(yuǎn)程訪問(wèn)的情況下應(yīng)該關(guān)閉遠(yuǎn)程訪問(wèn)功能。當(dāng)然這項(xiàng)功能本身就是默認(rèn)被禁用的。