钟馗之眼(ZoomEye)关于D-Link后门的统计分析报告

安全 作者:Madmaner 2013-10-26 05:00:23 阅读:147
背景 安全研究员逆向工程发现嵌入式设备商台湾友讯科技(D-Link)路由器多个型号 使用的固件系统中存在后门。D-Link 的固件由其美国子公司Alpha Networks开发。黑客只需要将浏览器User-Agent标志修改为:xmlset_roodkcableoj28840ybtide,再访问路由器IP地址,即可无需经过验证访问路由器的Web管理界面修改设备设置。   影响型号包括:
DIR-100、
DIR-120、
DI-524、
DI-524UP、
DI-604S、
DI-604UP、
DI-604+、
TM-G5240、
BRL-04R、
BRL-04UR、
BRL-04CW、
BRL-04FWU
其中后门字符串roodkcableoj28840ybtide从后往前读是“Edit by 04882 Joel Backdoor”,其中Joel可能是Alpha Networks的资深技术总监Joel Liu。不知道这是否是故意留的后门,  考虑到这家公司的开发团队是美国的公司,不知道是否与斯诺登事件是否有关联。   ZoomEye.org全球数据统计: 知道创宇安全研究团队,利用大数据扫描分析,绘制了全球范围内D-Link的部署地图。截图如下: 1(1) 公网上可访问的D-Link设备有 62460个。   受影响的型号分布 3 根据报道受影响的版本,在公网可访问数量占公网上可访问的全部D-Link数量比例为: 2 参考: 关于后门的原始分析信息参考:http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/HYPERLINK 中文翻译:http://blog.jobbole.com/49959/    

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

选择AiDeep,让人工智能为你工作:http://www.aideep.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩