近日，安全研究人員Craig Heffner公開表示，其已在多款D-Link路由器固件中發現了一個后門程序。

Heffner是Tactical Networks Solutions安全公司的一名漏洞研究員，他在/dev/ttyS0網站上發表了一篇博客，表示其在一個無聊的周六晚上，在通過逆向分析D-Link路由器固件中的web服務器軟件時，發現路由器中包含有后門程序漏洞。

在使用Binwalk工具提取出web服務器二進制文件并通過IDA對二進制文件進行分析后，Heffner發現其實際上是ACME實驗室里的一個開源HTTP服務器，即Thttpd web服務器執行的結果，該服務器此前已經遭到D-Link子公司Alphanetworks的研發人員的修改。

該公司使用的Thttpd版本為2.23，該版本中包含有許多漏洞，其中一些漏洞可以在某些情況下被黑客利用并允許黑客進行遠程代碼執行。然而，Heffner也指出了另一個被故意引入的漏洞，有了這個新的漏洞，其他的漏洞都可以被徹底忽略。

Alphanetworks公司研發人員對Thttpd所做的修改包括一個名為alpha_auth_check的函數，盡管此前該服務器已經包含了一個本地的可用于驗證用戶是否已經登錄的check_login函數，但研發人員還是對其做了修改。該新的自定義函數主要用于檢查用戶請求中的某些信息并決定是否要跳過本地的身份驗證步驟。

自定義函數檢查的信息包括用戶對圖形和公共目錄的合法請求信息，之所以要對該請求進行檢查，其目的應該是為了能夠顯示D-Link品牌頁面，要求用戶登錄或訪問無需用戶登錄即可查看的信息。

除此之外，自定義函數還負責檢查瀏覽器用戶代理，如果瀏覽器用戶代理字符串與“xmlset_roodkcableoj28840ybtide”相匹配，那么身份驗證步驟就能再次被跳過。

對于該字符串，如果我們從后往前讀，即可發現相關可能的負責人名字，即“edited by 04882 joel backdoor”。

實際上，修改用戶代理頭信息的影響并不大，用戶代理頭信息是HTTP請求的一部分，但這樣的修改將允許D-Link設備開始運行固件并面臨未經身份驗證即可被黑客直接登陸訪問的風險。

通過搜索引擎Shodan做一項簡單的調查，我們即可發現目前使用Alphanetworks版thttpd的設備超過了3,200臺。

通過分析包含在固件中的另一個二進制文件，可以發現該后門程序的擬定用途。該二進制文件/bin/xmlsetc將向設備發送用戶代理頭文件中的字符串和請求信息，并合法修改路由器的配置。

Heffner在博客中寫道：“我估計，開發人員認為一些程序或服務需要帶有自動修改設備設置的功能，他們覺得web服務器已經包含能夠修改這些設置的代碼，因此他們決定不管是否需要修改設備設置，都僅向web服務器發送請求信息。而這里存在的唯一的問題是，web服務器需要用戶名和密碼，而最終用戶可能會修改用戶名和密碼。于是，Joel靈光一現，跳起來激動的說：‘不用擔心，我想到了一個完美的計劃可以搞定它!’。

據Heffner介紹，以下幾款D-Link和Planex(使用相同的固件)路由器均帶有該后門程序：

DIR-100

DI-524

DI-524UP

DI-604S

DI-604UP

DI-604+

TM-G5240

BRL-04UR

BRL-04CW

對此，D-Link在接受PCWorld采訪的時候表示，他們將在本月月底之前發布安全補丁修復該漏洞。

“目前我們正在積極的與該后門程序發現人員進行溝通，同時我們也在不斷的檢查我們的其他產品以確保這些漏洞一一得到修復”，D-Link公司在其官方技術支持頁面上如此寫道。同時該公司還提醒用戶：在無需遠程訪問的情況下應該關閉遠程訪問功能。當然這項功能本身就是默認被禁用的。