17 сентября 2013 в 20:36

Дыра в безопасности IP-телефонов D-Link? Нет, это «Особенность»!

Интуиция системных администраторов чаще всего подсказывает: «Держись от оборудования D-Link подальше». Если про качество сборки этих устройств и надежность их работы отдельно говорить не приходится: большинство админов, так или иначе знакомых с продукцией этого вендора не ждут здесь чудес, то вот такой пункт как «Безопасность» — уже не поддается органам чувств.

image

Однако, и тут нас компания D-Link успела «порадовать», реализовав "секьюити-фичу" и подтвердив её документально…

Если в вашей компании используется IP-телефония и есть оборудование D-Link, то этот материал настоятельно рекомендуется к прочтению.

На официальном форуме поддержки оборудования D-Link была поднята тема о безопасности VoIP-оборудования D-Link:
«Добрый день!

Эксплуатируем более ста телефонов этой модели.
Недавно были обнаружены следующие особенности данного аппарата:
1. зайдя на web-интерфейс телефона под дефолтной учетной записью guest с паролем guest (уровень доступа общий), можно менять конфигурацию телефона: настройки IP, SIP и прочие. Можно даже глянуть на конфигурационный файл с паролями.
2. при удалении этой учетки guest, она вновь появляется после перезагрузки телефона. Появляется с паролем guest даже если до удаления он был сменен.

Версия Firmware на данном аппарате: GE_1.00
Подскажите, это баг или особенность данных телефонов?»

На что сотрудник компании D-Link Алексей Мотков дает официальный ответ:

«Особенность»

Вы поняли, да? Стоит ли тратить буквы, на то, чтобы описывать всю фееричную бредовость такой ситуации?? Стоит ли говорить, что один из самых уязвимых элементов IP-телефонии, находящийся зачастую в неконтролируемых админом сетях имеет просто гигантскую дырку, которую сотрудники D-Link еще называют «Особенностью»?

Дать возможность хакерам войти в телефон, скачать конфигурацию и войти на станцию с первого раза, после чего «назвонить» на сотни тысяч рублей — вот что компания D-Link называет особенностью.

Наверняка, тему в ближайшее время выпилят администраторы, т.к. репутация D-Link будет падать с каждым просмотром этой темы. Поэтому прикрепляем к этой статье нотариально заверенные скриншоты: клац раз, клац два.

UPD: Много интересного (ссылку дал сам Алексей Мотков)
Сергей Грушко @zepps
карма
6,2
рейтинг 0,0
Похожие публикации
Самое читаемое Разработка

Комментарии (86)

  • +2
    я думаю, что вскоре, втихую, будет выпущен апдейт, в котором неожиданно данная особенность фича будет выпилена. и ни кто ни чего не видел и не слышал.
    • +3
      Это как раз относительно неплохой вариант. Хуже — когда обновления такого не будет никогда, особенно на относительно старых устройствах, которые им поддерживать не хочется.
      • +1
        Решение уже есть.
        Обновить версию прошивки можно тут.
        • 0
          вебморда отключается через телнет, на телнет по гостю не зайти -> profit
    • +1
      использую несколько длинков sip-телефонов.
      Прошивки на мою серию последний раз выпускались, если не изменяет память, в 2009 году. Просто, телефония это не профильный бизнес.
  • +5
    Хоть что-то у них в безопасности. ©
  • 0
    Во втором скриншоте написано, что вы можете менять пароли администратора и гостя. Это не решение проблемы?
    • +7
      1. Для того чтобы проблему решить, о ней нужно хотя-бы знать.
      2. Учетка guest никогда не должна давать привелегий по просмотру конфигов со всеми паролями, смены IP, SIP-настроек.
      Как вы думаете, сколько пользователей об этом знают? 0,001% или 0,00001%?
      • +2
        Совершенно согласен. Просто из статьи я понял что эту дыру вроде как невозможно закрыть.
        • 0
          В принципе можно, а вот есть ли желание?

          Нам всегда «разработчики» навязывают свою точку зрения, так же и майрософт говорила про DirectX 11 или 10 кажется, что нельзя использовать под XP, нашлись умные люди и закинули в хрюшу пару «библиотек» и заработало.

          А мне разработчики филипса ответили, что телевизор не будет поддерживать ntfs и прошивки это не исправят — это аппаратная особенность, ну согласитесь же что бред. Пришла в голову идея попробовать exFAT…
  • +14
    Желаю Алексею Моткову поскорее найти новую работу
    • 0
      Так не Алексею надо работу менять, а китайцам которые пишут прошивки под это оборудование.
      • +1
        Китайцы потом сливают телефонный трафик в Кубу.
        Алексей выдал инсайд, не подумамши.
  • –1
    Автору спасибо, теперь д-линки будут жить отдельно от меня, как раз я на TP-Link подсел и засматриваюсь на mikrotik. Есть IP-камера от длинка, интересно, там такой же баг присутствует…
    • +1
      Может быть я чего-то не знаю, но чем TP-Link лучше? Если уж и сравнивать сетевое оборудование, то следует говорить о ASUS или Cisco, которые на голову выше по качеству и прямым рукам программистов, но и по цене соответственно.
      • 0
        Про асус знаю что они то же не честно всё говорят.

        Подключая интернет напрямую к компьютеру, скорость локальной сети провайдера выше чем через роутер асус. Ну а TP-LINK то чем провинился?
        И вряд ли асус можно сравнивать с Cisco!
        • 0
          По особенностям подключения, я уверен, можно уточнить перед покупкой. За то тестеры и тех.поддержка получают свой хлеб.

          Да и оборудование разное бывает… Одно дело маршрутизаторы в пределах 300$ и другое дело что-то куда серьезнее (межсетевые экраны, DSLAM и т.д.) Сравнивать нужно всё отдельно.
          • +1
            Уточнить не получится, никто на эти вопросы не ответит, так как если я не ошибаюсь, то на роутере были гигабитные (точно не помню) порты, да и в пределах 100 мегабит/с асус не справился…
            • 0
              Странно, не могу с уверенностью говорить про асус. Но я самолично работал в техподдержке другого производителя, у которого есть полная таблица всех маршрутизаторов и скоростей которые они стабильно выдают при определенном типе подключения.
              • 0
                Вы то тех поддержка, хотя и они не всегда что-то умное говорят, а где работали (можно в личку ответить)?
        • –1
          TP-LINK то чем провинился?

          Как минимум линейкой бестолковых VPN роутеров TL-ER6***?, у которых с каждой новой прошивкой убирают заявленный функционал.
          • 0
            Минус обоснуете или пруфлинки привести?
            А вот такая история как вам: Блокировка форума TP-Link
            TP-Link не маленькая конторка и могла бы сама позаботится о доступности своей техподдержки, а не жать пока пользователи начнут этим заниматься.
      • +4
        > Если уж и сравнивать сетевое оборудование, то следует говорить о ASUS или Cisco
        Нет, я реально прослезился от этих слов. Жесть.
        • 0
          А почему? Таки асус не такие уж и годные?
          • +4
            Асус это уровень длинка. У циско есть (было до этого года вернее) отдельное подразделение для конкурирования в таком секторе — Linksys называется. Вот их можно сравнивать.
      • 0
        Тут про уязвимости роутеров ASUS
    • +2
    • 0
      Засматривайтесь лучше на Mikrotik. Сравнивать Mikrotik можно только с Cisco. Причем, в ряде функций эту циску микротики явно обходят. Это я говорю, как CCNA и MTCNA одновременно.
      • +2
        Чем же обходят? А как же Juniper?
        • +6
          Про Juniper не знаю: не работал с ними.
          Микротик можно сравнивать с цисками только в решениях SMB (но с настоящими цисками, а не с линксисами).
          У микротиков:
          1. IPSec VPN из коробки, PPTP, L2TP, SSTP.
          2. Шейпинг и QoS: управление очередями в куда более удобном режиме, чем у Cisco.
          3. Лучшая производительность (PPS), например, сравнивая Cisco 881 и Mikrotik 951.
          4. Копеечная цена — порядка 100 долларов за гигабитный роутер с 5-ю независимыми портами.
          5. Функция Safe Mode, которая отменит правило или действие, заблокировавшее вам доступ к роутеру.
          6. Возможность подключения к устройству по MAC-адресу, даже если на устройстве нет IP или он из другой сет.
          7. Скрипты.
          8. Управление через ssh, web, winbox (специальная утилита)
          9. Подключение модемов Yota или 3G.
          10. Функционал MPLS, OSPF, BGP (хотя мне не совсем понятно, зачем это в девайсах за 100 долларов)
          11. Функции WiFi Hotspot «из коробки»
          12. Проприетарный TDM WiFi-протокол NV2,Nstreme для радиолинков, улучшающий характеристики передачи данных.
          13. Дешевый PoE(не 802.1q), позволяющий «впрыснуть» в Ethernet питание и поставить роутер туда, где его невозможно было бы питать. Стоимость такого инжектора — порядка 300 рублей.
          14. Очень быстрая работа: быстро загружается, интерфейс (winbox) мгновенно отрабатывает.

          Это то, что пришло в голову «сходу».
          • +1
            На счет BGP, у Микротика есть и модели за 500-2000 USD, которые можно использовать как полноценные бордеры при трафике аплинков до 1Гбит/сек.
            Они прекрасно справляются.
            Мы такие клиентам ставим по запросу если нужно им свою AS заанонсить у нас.
            Отличные железки не имеющие аналогов за свои деньги.
      • 0
        У микротика нет решений для больших масштабов, взять хотя бы тот же DPI.
        • 0
          У микротика вообще очень ограниченный спектр решений: по ширине линейки их с Cisco сравнивать вообще нельзя. Но вот SOHO-рынок они хорошо закрывают.
          И провайдеры интернета тоже любят его (ставят ОС на сервера) в качестве BRAS-ов.
          • 0
            У нас роутерос как раз и в качестве BRAS и в качестве центрального бордера с full-view, все работает без проблем.

            Про SOHO не согласен.
            Они было начали выпускать нормальные домашние роутеры, да как-то с вайфаем не срослось. Решений для 802.11n на 300Мбит до сих пор нет.
            И вот что сейчас при таком раскладе можно домой взять?
            RB951-2n — антенны внутри, разъема нет, качество сигнала ужасающее.
            RB751 — вроде как был разъем, антенну однако же надо докупать отдельно.
            RB2011 — оверкилл как ни крути.

            В чем микротик со своим роутерос силен так это как раз в поднятии дальнобойных wi-fi линков по принципу точка-точка. Ну и собственно роутинг, название ОС намекает.
            • 0
              Ну, вот даже RB951-2n (стоимостью в 1500 рублей), который поставил родителям, хватает, чтобы из одного конца 3-х комнатной квартиры пробить до другого конца (до кухни) через 2 капитальные стены. Речь о больших скоростях не идет, но меня в целом вполне устраивает. А по внешним антеннам у них тоже есть всякие предложения.
              • 0
                951 я сам не юзал, но мы на пробу брали штук 50 для абонентов. Почти все жаловались на уровень сигнала.
                Не понятно почему они принципиально не делают RP-SMA разъемы.
                • 0
                  Самое в том и интересное, что ровно на предыдущей модели из этой линейки он был. Причём там, где я брал 9xx картинку почему-то залили ещё от 7xx, что меня смутило. Моё удивление было безграничным, когда я не нашёл на корпусе отверстия для подключения антенны.
                  Скорее всего делят сегмент. У них есть несколько более дорогие решения с разъёмами под антенны. Надо же и их продавать…
                  • 0
                    Дык и на 751 не SMA, который на домашних роутерах обычно используют (длинк и иже с ними), поэтому антенну в любом случае еще придется поискать.
            • 0
              Ставил дома и на работе RB751.

              Разъем под антенну есть, да. Но антенну я туда никогда не вкручивал, потому что и без антенны он пробивает 3-4 перегородки. Например, в моей квартире он лежал в самом дальнем углу на полу за тумбой с телевизором. В любом месте квартиры и даже на улице (3-й этаж, причем с другой стороны дома) можно было наслаждаться беспроводной сетью хорошего качества.
              • 0
                У меня 751 у самого был, в среднем качество сигнала было хуже чем у Zyxel Keenetic Lite в 2 раза. И чаще всего все упиралось именно в то, что сам микротик фигово слышал подключенные девайсы. Возможно сказывается загаженность 2.4ГГц-диапазона.
                • 0
                  У меня в частном доме 2011 на 17Децибелах прошивает 3 этажа и добивает во внутренний двор(1 внешняя стена). Плоховато но пробивает. А потом я еще к нему подцепил 951-2n по WDS в самой дальней комнате. По цене оно конечно проигрывает всяким ТПлинкам, но имея одну хорошую центральную точку как роутер можно c парой 951Ui покрыть весьма большую территорию.
                  Так что я бы не сказал что у микротиков такой уж хреновый сигнал вайфая. Другое дело что им и тот ватт мощности нафиг не уперся, второй же девайс явно не сможет добить на такое расстояние, что бы адекватно работать с микротиком, значит и микротик придется в 17-18Дб зажимать
                  • 0
                    Вероятно на севере, где я живу, стены толще, у меня дома он еле-еле квартиру смог покрыть. А кинетик тоже добивал во двор.
            • 0
              RB493g. Там три miniPCI. У меня такой работает в simultaneous dual-band
              • 0
                Не совсем SOHO как бы, обычные юзеры столько тратить не будут. Но плата великолепная, да. Сам о ней задумывался, но потом вышел RB2011 который меня по всем параметрам устроил, взял его.
    • 0
      Mikrotik не делает VoIP-шлюзов и телефонов. Зато их неплохо делают Linksys (Cisco), AddPac. Но вообще в плане безопасности VoIP я бы мог только одно сказать — не выпускайте VoIP в интернет, если это возможно. VPN / VLAN… что угодно, но не открытая в мир voip-система.
    • 0
      Сейчас специально проверил свою домашнюю DCS-2130, если честно обалдел: ввел geust/guest и уелкам хоум :-(
      • 0
        Правда, справедливости ради, стоит отметить, что настройки менять нельзя, можно всего лишь смотреть HD видео с камеры.
        • 0
          По моему у меня такая же камера, но всё равно нарушение частной жизни
          • 0
            Поставьте в спальню, хочется ну хотя бы одним глазком… :)
    • 0
      Владельцы IP-камер Длинка («один мой знакомый» в их числе) разделяют Ваш интерес!
      Знающий ответ, да не пройдет мимо. :)
      • 0
        Надо не забыть покопать свою камеру…
  • 0
    dd-wrt на d-link лучший вайфай в моей квартире, к сожалению не на каждый роутер ставится dd-wrt
    интересно, можно продавать роутеры с dd-wrt?
    • +2
      Buffalo продает роутеры с dd-wrt.
    • 0
      у меня dd-wrt не очень стабильно работает на linksys 54g и 300n
    • 0
      У вас, наверное, какой-нибудь девайс класса DIR-320 или аналог? Эти устройства — клоны роутеров Asus WL-500GP, которые — вполне себе. И длинковские клоны получились вполне удачными. Но много ли в этом их заслуги…
      • 0
        Был Linksys 54g, 300n, а теперь TP-LINK WR1043ND
      • 0
        Asus WL-500GP с прошивкой Олега против DIR-320 c dd-wrt. все сидят на длинке. В dd-wrt есть выпадающее меню усиливающее вайфай сигнал.
        • +8
          выпадающее меню усиливающее вайфай
          Это что то невероятное.
          Простите, но ваш комментарий сделал мой день.
          //Рекомендую домой кинетики.
          • 0
            Пардон муа: рекомендую домой микротики. Несколько кинетиков вешал убийственной парочкой «HD-канал IPTV + десятка самых сидируемых торрентов с одного популярного ресурса», причём что по меди, что по воздуху.
            • 0
              Работал бы на Микротике UDPXY, можно было бы и домой. А так скорее OpenWRT на DIR-825 или TP-Link TL-WDR4300
              • 0
                Для UDPXY ставил на Микротик OpenWRT в MetaRouter. У них на сайте есть специально подготовленный образ. Проблем со стабильностью или производительностью пока не наблюдал.
                • 0
                  Но это же МетаКостыль с нехилым оверхедом.
                  • 0
                    Для меня оно работает просто замечательно. Читал о проблемах, но сам их в моей конфигурации не встречал.
            • 0
              Это имеет смысл только посетителям даного ресурса. А вы дайте обычному домашнему пользователю микротик. Много он там настроит? :)
              • 0
                И да, и нет:
                Да: Микротик в дефолте имеет конфигурацию: WAN — по DHCP, локалка. Кроме того, в админке открывается страница, на которой большинство настроек для хомячка будет понятно.
                Нет: Вся остальная настройка уже совсем не тривиальна, но и хомячкам она не нужна.
              • 0
                Я с помощью гугла настроил + NetFlow прикрутил и нормально,
              • 0
                А вот у меня такой вопрос, есть же микротик с оптикой (SFP), так как настраивается этот порт, можно ли будет разные IP с SFP настроить на разные интерфейсы?
                • 0
                  Да, конечно.
                  • 0
                    А не подскажите, где глянуть примерную настройку (нет ещё такого микротика у меня), то есть в оптике может идти не один IP, а сразу несколько (предположим в разные квартиры) и теперь один ip перенаправляем на первый интерфейс, второй ip на второй интерфейс и так далее. Можно так?
                    • 0
                      Делаете бридж-группу из всех интерфейсов, которые должны иметь внешние IP.
                      Например, провайдер выдает вам блок из 3-х адресов, по оптике. Создаете бридж группу с интерфейсами spf1, ether1, ether2. Один адрес назначаете самой бридж-группе, два других — на устройства, подключенные в ether1 и ether2. интерфейсы ether3-5 — в другой бридж-группе, например, для локалки.
                      • 0
                        А зачем бриджу свой внешний IP? Ведь я должен забрать 3 IP на разных интерфейсах, то есть по spf1 — блок 3 ip, 1 ip-ether1, 2 ip-ether2, 3 ip-ether3. Или я чего-то не понял?
                        • 0
                          Для NAT, если нужен будет. А три — это я для примера привел.
                          • 0
                            Поясните, как для NAT?
                            • 0
                              Локалка будет у вас? Или только внешняя сеть? Если есть локалка, то и NAT потребуется делать, а ему нужен внешний адрес.
                              • 0
                                Я думал как, по sfp получить интернет и раздать на один или все интерфейсы, и на свитч, разве тут NAT нужен? Про несколько IP по оптике я на всякий случай спрашивал
                                • 0
                                  А как иначе адреса у пакетов будут преобразовываться? Если внешний один, а внутренних много? Пакеты кто без NAT будет перенаправлять?
                                  • 0
                                    Видимо я неправильно понял. У SFP1 есть внешний ip, а интерфейсы уже в бридже и всё (ну и NAT соответствующе будет настроен и всё). Ну ладно, без конкретного аппарата мы будем долго общаться, поэтому спасибо, буду пробовать как куплю/закажу.
                                    Почему нет нигде RB2011UAS-2HnD-IN?
          • 0
            Этот комментарий не такой бессмысленный, как может показаться на первый взгляд.
            В нативных прошивках максимальный уровень сигнала ограничивается так, чтобы не нарушалось наше законодательство в сфере радиосвязи. В dd-wrt этого ограничения нет, и уровень сигнала можно выставить выше.
  • 0
    Теперь осталось подобрать поисковый запрос в Google для отображения всех расшаренных телефонов :3
    • 0
      >осталось подобрать поисковый запрос в Google

      Лучше в shodan (http://habrahabr.ru/post/178501/)
  • 0
    А если вместо удаления guest, поменять пароль на устойчивый к взлому, аппарат вернет старый пароль?
  • 0
    Правильно я понял, что поменять пароль можно?
    Т.е. проблема в том, что юзер не меняет пароль на гостевой учётке? Такой юзер и стандартный админский пароль не сменит.
    • +1
      Пароль поменять можно, дело не в этом — гостевая учетка не должна ничего ДАВАТЬ МЕНЯТЬ, ибо на то она и гостевая.

      А стандартный админский пароль обычно все автоматом меняют, ибо прошито уже в голове, а про гостевой доступ действительно часто забывают. Я бы вот точно забыл :-) Это конечно плохо, но еще хуже давать из под гостя менять что-то.
      • 0
        отключайте вебморду, и используйте телнет, и вообще voip не надо делать светящим в инет, а в локалке отделить их отдельным вланом.
  • 0
    Всячески стараются юзеров убедить на железо других вендоров переходить. Пусть и в сравнимом ценовом диапазоне.

    Маршрутизаторы — Микротик.
    Точки доступа — Ubiquiti
    и т.д.

    Свичи уровня доступа вроде пока у них держатся молодцом :)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.