ZoomEye发布D-Link后门分析报告

  背景

  安全研究员逆向工程发现嵌入式设备商中国台湾友讯科技(D-Link)路由器多个型号使用的固件系统中存在后门。D-Link 的固件由其美国子公司Alpha Networks开发。黑客只需要将浏览器User-Agent标志修改为:xmlset_roodkcableoj28840ybtide,再访问路由器IP地址,即可无需经过验证访问路由器的Web管理界面修改设备设置。

  影响型号包括:DIR-100、DIR-120、DI-524、DI-524UP、DI-604S、DI-604UP、DI-604+、TM-G5240、BRL-04R、BRL-04UR、BRL-04CW、BRL-04FWU等

  其中后门字符串roodkcableoj28840ybtide从后往前读是“Edit by 04882 Joel Backdoor”,其中Joel可能是Alpha Networks的资深技术总监Joel Liu。不知道这是否是故意留的后门, 考虑到这家公司的开发团队是美国的公司,不知道是否与斯诺登事件是否有关联。

  ZoomEye.org全球数据统计

  知道创宇安全研究团队,利用大数据扫描分析,绘制了全球范围内D-Link的部署地图。

  公网上可访问的D-Link设备有 62460个。

  受影响的型号分布

​​

​​

  根据报道受影响的版本,在公网可访问数量占公网上可访问的全部D-Link数量比例为

​​

​​

 

文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/146387.html<

(0)
运维的头像运维
上一篇2025-03-11 01:51
下一篇 2025-03-11 01:52

相关推荐

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注