Backdoor en routers DSL Linksys y Netgear
Hay varios dias circulando en la web lo que aparentemente es un backdoor en los equipos mencionados, esta vulnerabilidad da acceso de administrador mediante una petición al puerto 32764 la cual no lleva autenticación. Esto fue documentado por el investigador Eloi Vanderbeken lo pueden encontrar por medio de su twitter, en el GitHub de este investigador podemos encontrar la lista de equipos que se encuentran vulnerables ante este acceso, se menciona que posiblemente pueda esta relacionado con la firma SerComm que elabora routers para cisco entre otros fabricantes por lo que los dispositivos que son vulnerables ante dicho ataque se van sumando a la lista.Afortunadamente me encontre arrumbado un dispositivo de los modelos mencionados como vulnerables (lista) también les dejo la lista de dispositivos basados en SerComm, y realize unas pueblas de escaneo, confirmando la existencia del puerto vulnerable para la WAN y también del lado de la LAN.
Se dice que en la investigaciones el puerto responde a cualquier petición:
ScMM\xff\xff\xff\xff\x00\x00\x00\x00
Nos vamos a shodan para confirmar la información buscando routers con la respuesta a la petición al puerto
Tome la primera dirección ahora para corroborarlo por un mapeo de puertos
La prueba publicada, dice que es posible obtener un shell del dispositivo sin autenticación con privilegios de administrador, se puede hacer un DoS, un respeto del dispositivo e inclusive obtener el archivo de configuración Routercfg.cfg
Para probar y solucionar este problema me decidi crear una regla en el firewall, inclusive ha sido mencionados en el repositorio que les pase, solamente se crean unas reglas en firewall (ip tables,etc..) y les funciona tanto para la WAN y LAN.
Así que si tu DSL router esta en la lista no esta de mas tomar esta medida para evitar lo mencionado anteriormente.
0 comentarios:
Publicar un comentario