Se ha publicado un estudio del
router WAG200G de la firma Linksys, perteneciente a Cisco, en el que entre
otros datos, se hace eco de la existencia de una conexión de servicio no
documentada que permitiría acceder de
manera remota y sin autenticar, mediante el puerto TCP 32764.
Según el análisis realizado a su
propio router doméstico por el investigador Eloi Vanderbeken (@elvanderb), dicho modelo traería de serie
una conexión remota no documentada a través del puerto 32764. Este puerto
abierto, responde de manera genérica ante cualquier petición con la siguiente
respuesta:
"ScMM\xFF\xFF\xFF\xFF\x00\x00\x00\x00"
…equivalente a un servicio de
broadcast a la escucha (255.255.255.255 0.0.0.0 ). Este modelo de router, como
muchos en el mercado está basado en Linux. Tras el análisis del firmware con
herramientas forenses como 'binwalk',
pudo obtener el sistema de ficheros (squashfs) y acceder a los diferentes
servicios de comunicación para así obtener la estructura del protocolo de
comunicación utilizado y poder reproducirlo, mediante ingeniería inversa.
También detectó diferentes vulnerabilidades en el firmware como desbordamientos
de memoria basados en pila o escalada de directorios.
Según la prueba de concepto
publicada, se conseguiría un acceso y control
total del dispositivo (Shell) a través de este puerto sin ningún tipo de
autenticación. Así mismo se podrían realizar denegaciones de servicio, pudiendo
resetear la configuración de fábrica o la obtención de la configuración del sistema
(Routercfg.cfg).
Mediante la colaboración de
diferentes usuarios, se ha confirmado la existencia de este acceso no
documentado en los siguientes modelos y firmas:
LINKSYS: WAG200G, WAG320N, WAG54G2,
WAG120N, WAG160N
NETGEAR: DM111Pv2, DGN1000, DG834G,
DGN3500, DGND3300
CISCO: WAP4410N
Y tras los diferentes modelos
analizados, posiblemente esta "puerta
trasera" esté relacionada con la firma SerComm, que elabora routers y módems
para diferentes fabricantes como Linksys, por lo que la lista de afectados
podría ser mayor:
Lista de routers basados en
SerComm http://bit.ly/1dWYqUH
Todo indica que una cuenta de
administración, utilizada seguramente durante el proceso de desarrollo del
firmware, no ha sido convenientemente deshabilitada tras el paso a producción
de los routers, llegando activa a los usuarios.
Dependiendo de cada modelo, éste
será accesible fuera de la red local o WLAN a través de Internet, por lo que se
recomienda tomar las medidas oportunas para proteger el acceso, ya que según
apunta ISC, los escaneos de puertos
están en aumento durante estos días.
Más información:
Some codes and notes about the backdoor
listening on TCP-32764 in
linksys WAG200G.
TCP/32764 backdoor
Scans Increase for New Linksys Backdoor
(32764/TCP)
Backdoor found in Linksys, Netgear Routers
José Mesa Orihuela
No hay comentarios:
Publicar un comentario