Eloi Vanderbeken, исследователь безопасности, выявивший в декабре наличие бэкдора в 24 моделях беспроводных маршрутизаторов Linksys, Diamond и Netgear, опубликовал доклад, показывающий, что в выпущенных обновлениях прошивки декабрьский бэкдор не устранён, а лишь замаскирован и остаётся доступен для активации.
После выхода обновления прошивок, в которых возможность удалённого управления устройством через TCP-порт 32764 списывалась на ошибку, Eloi Vanderbeken повторил своё исследование и выявил, что бинарный файл с реализацией протокола для удалённого управления по-прежнему входит в состав прошивки, но не запускается по умолчанию. Копнув глубже исследователь обнаружил, что данный файл вызывается из приложения ft_tool, которое открывает raw-сокет и прослушивает трафик. При появлении в перехваченном трафике ethernet-пакета с типом 0x8888 и специальной сигнатурой (MD5 от кодового имени продукта), осуществляется активация бэкдора через запуск процесса "scfgmgr -f &".
Таким образом бэкдор, позволяющий получить полное управление над устройством, может быть активирован любым пользователем локальной сети или со стороны ближайшего шлюза провайдера. Более того, при получения пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес, а при с типом 0x202 - позволяет изменить IP LAN-интерфейса. Для определения наличия бэкдора предлагается использовать специально подготовленный прототип эксплоита или распаковать прошивку при помощи 'binwalk -e' и осуществить поиск по маске "scfgmgr -f" (grep -r 'scfgmgr -f').