TD-W8951ND-smallMeer dan 15,2% van de Algerijnse bevolking maakt gebruik van internet. Het grootste gedeelte wordt verzorgd door Algerie Telecom.

Ze gebruiken de TP-LINK TD-W8951ND Routers. die ZYXEL  firmware bevatten.

Abdelli Nassereddine, pentester & Algerijnse Computer Science student heeft 2 lekken in de router openbaar gemaakt. Het gaat hier om een 'unauthorized access' & een 'password disclosure' kwetbaarheid.

De kwetsbaarheden kunnen eenvoudig kunnen worden uitgebuit.  Dit door een lek in ZYXEL firmware. Hieronder worden de details van de kwetsbaarheden verder uitgelegd.

Hacking Routers

Als eerste ontdekte hij dat er geen 'username & password' voor de 'Firmware / Romfile upgrade' sectie van de router nodig is http://[IP]//rpFWUpload.html Op deze pagina kan een gebruiker de de firmware van de router upgraden en is het ook mogelijk om de Romfile back-upbestand (rom-0) te maken. Je kunt via http://[IP address]/rom-0 (zoals afgebeeld) de romfile backup downloaden.

Deze Romfile bevat het beheerderswachtwoord van de router en kan in platte tekst worden opgehaald door reverse engineering met behulp van een gratis online service: http://50.57.229.26/zynos.php. Men hoeft alleen maar de Romfile te uploaden en er komt leestbare platte tekst uit. Hierbij wordt het router wachtwoord verplaatst in de eerste regel van het tekstbestand, zoals hieronder weergegeven:Router hacked

Abdelli heeft het ​​IP-adresbereik (41.107.x.x) van Algerije Telecom getest en hij vond duizenden routers die kwetsbaar zijn voor hackers.

Een snelle zoektocht op de 'SHODAN' zoekmachine met 'RomPager country: dz' leverd meer dan 259.744 resultaten op. Hiervan is nu 95% in gevaar!

Ook heeft Abdelli een geautomatiseerd 'exploit script' op GitHub geplaatst. Deze kan het volledige subnet voor de kwetsbare routers scannen en zal de wachtwoorden daarbij op het scherm weergeven (zie voorbeeld hieronder)

Algerian TP-LINK Routers are vulnerable to Hackers

Dit is een zeer ernstige kwetsbaarheid. Door simpelweg het aanpassen van het 'DNS-servers IP adres' van de router, kan men het verkeer van de gebruikers laten omleiden naar een 'kwaadaardige' server (DNS Spoofing). 

Er is geen patch nog beschikbaar. Om je te beschermen tegen tegen deze kwetsbaarheid kun je poort 80 doorsturen naar een andere website of ongebruikt IP-adres op uw netwerk.

 

Bron: Thehackernews