No siempre parcheo backdoors... pero cuando lo hago, añado otro (SerComm TCP/32764)

A principios de año hablábamos de un backdoor que el fabricante SerComm introdujo en numerosos routers de Cisco, Linksys, NetGear y Diamond y mediante el cual, a través del puerto TCP/32764 y sin necesidad de autenticación, se podía obtener un shell remoto con privilegios de root.

Aunque se han publicado actualizaciones que "solucionan" el problema del backdoor, Eloi Vanderbeken de Synacktiv ha analizado estos nuevos firmwares y demuestra que:

- un binario ft_tool abre un socket raw a la espera de un paquete con ethertype = 0x8888 y payload == md5(''DGN1000'')
- si llega el paquete de tipo == 0x201 se ejecuta system(''scfgmgr -f &''), es decir, se lanza scfgmgr, el binario del backdoor con la opción -f (escucha TCP)...

Por lo que sigue siendo posible reactivar el backdoor si estás en la LAN o eres el proveedor de Internet (estás a un salto del router).

En conclusión el backdoor era INTENCIONADO y se afanan en mantenerlo...

Presentación: http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
PoC: http://synacktiv.com/ressources/ethercomm.c

Comentarios