Backdoor TCP 32764 v routerech někdo tajně znovu aktivoval

Zveřejněno 21 dubna 2014 autorem FreePub

Na začátku tohoto roku informoval web The Hacker News o tajném backdooru TCP 32764.

Tento backdoor se objevil v několika routerech, včetně těch od firem Linksys, Netgear, Cisco a Diamond, umožňoval útočníkům posílat příkazy zranitelným routerům skrze TCP port 32764 pomocí příkazového řádku bez ověření administrátora.

Reverzní inženýr z Francie Eloi Vanderbeken, který objevil tento backdoor, zjistil, že i když byla chyba opravena v nejnovější verzi firmwaru, ale společnost SerComm jiným způsobem opět přidala stejný backdoor.

Aby si ověřil vydanou opravu, musel si stáhnout opravenou verzi firmware 1.1.0.55 z Netgear DGN1000 a vybalit jej pomocí binwalk nástroje. Zjistil, že soubor „scfgmgr“, který obsahuje tento backdoor je stále přítomen s novou volbou „-l“, která ji omezuje pouze na lokální socket meziprocesní komunikace (socket domény Unix) a pro procesy spuštěné na stejném zařízení.

Při dalším šetření prostřednictvím reverzního inženýrství binárních souborů našel další záhadný nástroj s názvem „ft_tool“ s volbou „- f“, který by mohl znovu aktivovat TCP backdoor.

Ve své zprávě (viz níže) vysvětlil, že „ft_tool“ ve skutečnosti otevírá raw socket, který sleduje příchozí package a útočníci na lokální síti mohou aktivovat backdoor na TCP portu 32764 zasláním následujících specifických paketů:

– EtherType parametr by měl být roven „0 x8888“.
– Obsažení hashe MD5 s hodnotou DGN1000 (45d1bb339b07a6618b2114dbc0d7783e).
– Typ package by měl být 0x201.

Takto může útočník aktivovat TCP 32764 backdoor k provedení příkazů na zranitelných routerech SerComm i po instalaci opravné verze.

A teď otázka, proč výrobci routerů přidávají úmyslně znovu a znovu backdoory? Může být důvodem pomocná ruka pro americkou zpravodajskou agenturu NSA?

V současné době není k dispozici oprava pro nově objevený backdoor. Chcete-li zkontrolovat bezdrátový router kvůli tomuto backdooru, postupujte ručně podle níže uvedených kroků:

1) Použijte „binwalk-e“ k extrahování souborového systému.
2) Vyhledejte „ft_tool“ nebo „scfgmgr-f“.
3) Použijte IDA pro potvrzení.

Překlad článku Routers TCP 32764 Backdoor Vulnerability Secretly Re-Activated Again
thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html

  • Vložit komentář

    Time limit is exhausted. Please reload CAPTCHA.