В обновлениях прошивки Linksys и Netgear выявлен замаскированный бэкдор

Eloi Vanderbeken, исследователь безопасности, выявивший в декабре наличие бэкдора в 24 моделях беспроводных маршрутизаторов Linksys, Diamond и Netgear, опубликовал доклад, показывающий, что в выпущенных обновлениях прошивки декабрьский бэкдор не устранён, а лишь замаскирован и остаётся доступен для активации.

После выхода обновления прошивок, в которых возможность удалённого управления устройством через TCP-порт 32764 списывалась на ошибку, Eloi Vanderbeken повторил своё исследование и выявил, что бинарный файл с реализацией протокола для удалённого управления по-прежнему входит в состав прошивки, но не запускается по умолчанию. Копнув глубже исследователь обнаружил, что данный файл вызывается из приложения ft_tool, которое открывает raw-сокет и прослушивает трафик. При появлении в перехваченном трафике ethernet-пакета с типом 0x8888 и специальной сигнатурой (MD5 от кодового имени продукта), осуществляется активация бэкдора через запуск процесса "scfgmgr -f &".

Таким образом бэкдор, позволяющий получить полное управление над устройством, может быть активирован любым пользователем локальной сети или со стороны ближайшего шлюза провайдера. Более того, при получения пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес, а при с типом 0x202 - позволяет изменить IP LAN-интерфейса. Для определения наличия бэкдора предлагается использовать специально подготовленный прототип эксплоита или распаковать прошивку при помощи 'binwalk -e' и осуществить поиск по маске "scfgmgr -f" (grep -r 'scfgmgr -f').

Источник:
http://www.opennet.ru/opennews/art.shtml?num=39619

<= Назад
Комментарии
]]> ipv6 ready Kiev LUGLinux4MeНостальгияЛичный сайт skeletora ]]>