Обновленные прошивки Linksys и Netgear содержат бэкдор

22/04/2014 13:54

Элой Вондербекен (Eloi Vanderbeken), исследователь безопасности, выявивший в декабре наличие бэкдора в 24 моделях беспроводных маршрутизаторов Linksys, Diamond и Netgear, в которых используются технологии тайваньской компании Sercomm, опубликовал доклад, показывающий, что в выпущенных обновлениях прошивки декабрьский бэкдор не устранён, а лишь замаскирован и остаётся доступен для активации. После выхода обновления прошивок, в которых возможность удалённого управления устройством через TCP-порт 32764 списывалась на ошибку, Элой Вондербекен повторил своё исследование и выявил, что бинарный файл с реализацией протокола для удалённого управления по-прежнему входит в состав прошивки, но не запускается по умолчанию. Копнув глубже исследователь обнаружил, что данный файл вызывается из приложения "ft_tool", которое открывает RAW-сокет и прослушивает трафик. При появлении в перехваченном трафике Ethernet-пакета с типом "0x8888" и специальной сигнатурой (MD5 от кодового имени продукта), осуществляется активация бэкдора через запуск процесса "scfgmgr -f &". Таким образом, бэкдор, позволяющий получить полное управление над устройством, может быть активирован любым пользователем локальной сети или со стороны ближайшего шлюза провайдера. Более того, при получении пакета с типом "0x200" маршрутизатор отправляет в ответ свой MAC-адрес, а при получении пакета с типом "0x202" - позволяет изменить IP-адрес LAN-интерфейса. Для определения наличия бэкдора предлагается использовать специально подготовленный прототип эксплоита (проверен на модели NetGear DGN1000) или распаковать прошивку при помощи утилиты "binwalk -e" и осуществить поиск по маске "scfgmgr -f" (grep -r 'scfgmgr -f').
Источник