Molti modelli di router D-Link rilasciati sul mercato dal 2006 in poi, potrebbero diventare molto presto le vittime designate di attacchi, a causa di una implementazione buggata del protocollo HNAP (Home Network Administration Protocol).
Stando a quanto pubblicato sulla pagina Web di SourceSec Security Resarch, molti router (forse tutti) D-Link sono dotati oltre alla normale interfaccia di amministrazione anche della possibilità di connettersi via HNAP, tramite una connessione che non può essere disabilitata.
HNAP, per chi non lo conoscesse, è un protocollo HTTP-SOAP based, che può essere implementato all’interno di devices di rete per consentire la gestione e configurazione degli apparati in maniera remota.
Una falla nel meccanismo di autenticazione consentirebbe ad utenti malintenzionati remoti o locali di accedere e modificare direttamente i settaggi di rete.
SourceSec ha testato e verificato l’efficacia dell’attacco nei confronti di alcuni modelli di router abbastanza recenti come il DIR-628 e il DIR-655.
Nonostante infatti il protocollo richieda una forma di autenticazione base, in questi router D-Link (e probabilmente in altri) l’azione SOAP “GetDeviceSettings” viene eseguita ugualmente, consentendo così di bypassare i meccanismi di sicurezza ed eseguire altre azioni SOAP in maniera non autorizzata.
Situazione leggermente diversa e che innalza ancora di più la soglia dall’allarme è il fatto che i ricercatori hanno dimostrato come nel vecchio modello DI-524, la falla si possa sfruttare in maniera simile usando l’account utente “user” quasi sempre ignorato (login: user, password vuota).
Questa anomalia è dovuta al fatto che il dispositivo richiede si l’autenticazione per l’invio di azioni SOAP, ma sembra non faccia distinzione tra account utente normale o amministrativo.
Maggiori dettagli sono disponibili nel relativo paper e altresì è possibile scaricare il tool HNAP0wn che mostra come sfruttare la vulnerabilità.
Tutti e tre i router segnalati montano chipset Ubicom e un sistema operativo custom linux-based IpOS. Sembra che il problema sia l’implementazione fallata di HNAP rilasciata con la versione 7.0 dell’SDK a luglio 2006.
Resta dunque da capire se altri (e quali) vendor possano essere interessati da un problema di sicurezza analogo.