Na začátku tohoto roku informoval web The Hacker News o tajném backdooru TCP 32764.
Tento backdoor se objevil v několika routerech, včetně těch od firem Linksys, Netgear, Cisco a Diamond, umožňoval útočníkům posílat příkazy zranitelným routerům skrze TCP port 32764 pomocí příkazového řádku bez ověření administrátora.
Reverzní inženýr z Francie Eloi Vanderbeken, který objevil tento backdoor, zjistil, že i když byla chyba opravena v nejnovější verzi firmwaru, ale společnost SerComm jiným způsobem opět přidala stejný backdoor.
Aby si ověřil vydanou opravu, musel si stáhnout opravenou verzi firmware 1.1.0.55 z Netgear DGN1000 a vybalit jej pomocí binwalk nástroje. Zjistil, že soubor „scfgmgr“, který obsahuje tento backdoor je stále přítomen s novou volbou „-l“, která ji omezuje pouze na lokální socket meziprocesní komunikace (socket domény Unix) a pro procesy spuštěné na stejném zařízení.
Při dalším šetření prostřednictvím reverzního inženýrství binárních souborů našel další záhadný nástroj s názvem „ft_tool“ s volbou „- f“, který by mohl znovu aktivovat TCP backdoor.
- Vojenské výdaje Západu klesají, ale všude jinde rostou
- Pokrytectví Západu: Jsem zmaten, můžete mi někdo pomoct?
Ve své zprávě (viz níže) vysvětlil, že „ft_tool“ ve skutečnosti otevírá raw socket, který sleduje příchozí package a útočníci na lokální síti mohou aktivovat backdoor na TCP portu 32764 zasláním následujících specifických paketů:
– EtherType parametr by měl být roven „0 x8888“.
– Obsažení hashe MD5 s hodnotou DGN1000 (45d1bb339b07a6618b2114dbc0d7783e).
– Typ package by měl být 0x201.
Takto může útočník aktivovat TCP 32764 backdoor k provedení příkazů na zranitelných routerech SerComm i po instalaci opravné verze.
A teď otázka, proč výrobci routerů přidávají úmyslně znovu a znovu backdoory? Může být důvodem pomocná ruka pro americkou zpravodajskou agenturu NSA?
V současné době není k dispozici oprava pro nově objevený backdoor. Chcete-li zkontrolovat bezdrátový router kvůli tomuto backdooru, postupujte ručně podle níže uvedených kroků:
1) Použijte „binwalk-e“ k extrahování souborového systému.
2) Vyhledejte „ft_tool“ nebo „scfgmgr-f“.
3) Použijte IDA pro potvrzení.
- Konspirační teoretik a investigativní novinář „spáchal sebevraždu“
- Analytik: CIA má na rukou ukrajinskou krev
Překlad článku Routers TCP 32764 Backdoor Vulnerability Secretly Re-Activated Again
thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html