Sự nguy hiểm đến từ các router Trung Quốc

134

Internet đã và đang dần trở thành một phần không thể thiếu trong cuộc sống xã hội ngày nay mà song song với đó là sự phát triền như vũ bão của các thiết bị internet như router, switch,….. Việc sản xuất các thiết bị internet ngoài đem lại lợi ích về mặt kinh tế cho mỗi quốc gia đôi khi còn được dùng để phục vụ mục đích chính trị. Trong những năm gần đây Trung Quốc nổi lên như một cường quốc trong việc sản xuất các thiệt bị phục vụ internet với rất nhiều các tên tuổi như D-Link, Tenda, Tp-link, Huawei… Với lợi thế giá thành rẻ và mẫu mã đa dạng, các sản phẩm này đang dần chiếm lĩnh thị trường thiết bị internet không chỉ ở Việt Nam mà còn ở nhiều nước trên thế giới.

router p1

router p2

Với thị trường thiết bị internet rộng lớn và đang tăng trưởng nhanh như vậy sẽ ra sao nếu các nhà sản xuất này “câu kết” với chính phủ của họ tạo ra những lỗ hổng an ninh trên các thiết bị internet của mình để nhằm đánh cắp các thông tin quan trọng nhằm phục vụ cho mục đích chính trị? Thật vậy, nếu như trước đây thông tin về việc backdoor được cài lên các router mới chỉ xuất hiện trên một số modem của Tp-link thì mới đây theo Craig Heffner, một nhà nghiên cứu chuyên về hack các thiết bị nhúng thì gần như các router của các nhà cung cấp các thiết bị internet có xuất xứ ở Trung Quốc như D-link, Tenda, Huawei.. đều đã được cài backdoor.

Vậy backdoor là gì? Việc sử dụng các router được cài backdoor tồn tại những nguy cơ nào?

router p3.jpg 

Backdoor là một chương trình (program) được hacker (ở đây là nhà sản xuất) được cài đặt lên hệ thống, thiết bị nhằm mục đích giúp hacker thâm nhập lại được vào hệ thống, thiệt bị theo “cổng sau” nhằm tránh sự phát hiện của người dùng. Từ đó hacker có thể nắm được mọi thông tin, thay đổi cấu hình và có thể xóa sạch dấu vết sau mỗi lần truy cập vào hệ thống cũng như thiết bị.

Trong khuôn khổ của bài phân tích này, tôi xin không đề cập đến quá trình tìm, phân tích phát hiện ra backdoor trên từng loại router mà xin đi sâu vào cách thức hoạt động của backdoor cũng như phương pháp giúp người quản trị có thể phát hiện ra các backdoor này.

Cách thức hoạt động và khai thác

Thông thường, việc cấu hình router luôn phải cần đến username và password của người quản trị nhưng với backdoor vừa được phát hiện trên một số loại router thì attacker có thể can thiệp được vào việc cấu hình của router với quyền admin (root) bất kể là sử dụng mạng ethernet hay Wifi mà không cần đến username, password. Việc truy cập được vào cấu hình của router giúp attacker có thể điều khiển lưu lượng truy cập internet, đọc được một số dữ liệu không được mã hõa,….

Tùy từng backdoor được cài lên các loại router của các hãng khác nhau mà việc khai thác và phát hiện backdoor cũng khác nhau.

  • Router D-Link, Planex

Đối với các model của D-Link đã được kiểm nghiệm như DIR-100, DI-524, DI-524UP, DI-604S, DI-604UP, DI-604+, TM-G5240 hay Planex BRL-04UR, BRL-04CW thì attacker chỉ cần thay đổi user-agent trong request gửi tới router là xmlset_roodkcableoj28840ybtide là có thể truy cập được vào trang cấu hình router.

router p4

xmlset_roodkcableoj28840ybtide là một backdoor đã được công bố trên một diễn đàn của Nga cách đây vài năm và bây giờ đã được Craig tìm thấy trong một số model router của D-link.

  • Router Tenda

Hiện nay các router Tenda nói chung đều thưc hiện chuẩn mã hóa WPS hay WPA cho việc truy cập vào chế độ thiết lập cấu hình. Tuy nhiên trên một số model router Tenda như W302R và W330R tồn tại một lỗ hổng mà ở đó cho phép attacker gửi một gói tin UDP với các chuỗi đặc biệt để truy cập vào chế độ cấu hình của router.

Sau quá trình phân tích các hàm chức năng trong htppd của router, Craig Heffner đã tìm ra chuỗi đặc biệt đó là: w302r_mfg.  Với chuỗi w302r_mfg được thêm vào trong câu lệnh telnet tới router trên UDP cổng 7329, Craig Heffner đã thành công trong việc truy cập vào chế độ cấu hình của router mà không cần username, password của người quản trị:

router p5

  • Router TP-Link, NetGear

Cách khai thác backdoor trên 2 nhà cung cấp router này tương đối giống nhau. Để thực hiện truy cập vào cấu hình của route, attacker chỉ cần thực hiện gửi một request HTTP đến đúng nơi chứa backdoor trên router. Sau đó router sẽ tự động tải về máy tính của attacker một file theo giao thức TFTP giúp attacker có quyền thiết lập lại cấu hình của router.

Request khai thác trên NetGear:

http://192.168.0.1/BRS_02_genieHelp.html

Request khai thác trên TP-Link

http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html

 router p6

Sơ đồ khai thác thông qua backdoor trên TP-Link

Cách thức phát hiện

  • Router D-Link

Có 2 cách để phát hiện backdoor trên router D-Link:

–         Cách 1: Revert và tìm ra giá trị “secret” để thay đổi user-agent trong request gửi tới router.

–         Cách 2: Sử dụng tool quét tự động nmap

Hiện nay, cộng đồng nmap  đã hỗ trợ hàm script giúp người sử dụng có thể quét một cách tự động để phát hiện lỗ hổng backdoor trên một số model router D-Link đã được phát hiện và công bố. Người dùng tiến hành cập nhật thư viện cho script của nmap bằng cách copy đoạn script vào trong thư mục C:\Program Files\Nmap\scripts (đối với Windows).

 router p7

Sau đó trên giao diện của Nmap chạy câu lệnh:

nmap -sV –script http-dlink-backdoor <target>

Khi chạy câu lệnh trên và quan sát output tại nmap: 

router p8

Khi output của nmap có dạng tương tự như ở trên thì router D-Link của bạn tồn tại một lỗ hổng backdoor.

  • Router Tenda

Tương tự như trên router D-Link, cộng đồng Nmap cũng đã hỗ trợ thêm hàm script để người dùng có thể thực hiện quét tự động kiểm tra backdoor trên router Tenda.

 router p9

Sau đó trên giao diện của Nmap thực hiện câu lệnh:
nmap -sU -p 7329 –script tenda-backdoor <target>
Kiểm tra giao diện output của nmap:

router p10

Khi output có dạng như trên thì router Tenda của bạn đang tồn tại một backdoor.