Globedia.com

×
×

Error de autenticación

Ha habido un problema a la hora de conectarse a la red social. Por favor intentalo de nuevo

Si el problema persiste, nos lo puedes decir AQUÍ

×
cross

Suscribete para recibir las noticias más relevantes

×
Recibir alertas

¿Quieres recibir una notificación por email cada vez que Mejor Antivirus escriba una noticia?

La vulnerabilidad del puerto TCP 32764 vuelve a aparece en varios modelos de router

04/05/2014 22:40 0 Comentarios Lectura: ( palabras)

image

A comienzos de este año, tuvimos acceso a informaciones sobre un Backdoor o puerta trasera secreta, existente en routers de varias empresas como LinkSys, Netgear, Cisco y Diamond. Dicha backdoor permitía a un atacante enviar comandos a los modelos afectados, a través de su puerto TCP 32764 , usando para ello una linea de comandos. No era necesario que estuviera autenticado como administrador.

El ingeniero encargado de revertir el proceso, Eloi Vandebeken, descubrió que, aunque el fallo de seguridad fué parcheado en las últimas instalaciones de firmware, ahora ha reaparecido de forma un poco diferente.

Para verificar el parche lanzado, decidió descargarse el nuevo firmware de la versión 1.1.0.55, lanzado recientemente para el modelo Netgear DGN1000. Extrajo dicho paquete mediante la herramienta binwalk. Entonces se dió cuenta de que el archivo scfgmgr , que contiene la puerta trasera, está aún presente en el archivo y con una nueva opción "-I" que lo limita a una comunicación interprocesal de socket local (Unix Domain Socket) o simplemente, para los procesos en ejecución en el mismo dispositivo donde se ejecuta.

Prosiguiendo con la investigación, realizando ingeniería inversa en los ficheros, encontró además una misteriosa herramienta llamada "ft_tool" con la opción "-f" que permite reactivar la puerta trasera hallada en el puerto TCP 32764.

Más sobre

En su informe ilustrado, que podéis ver a continuación, explica que la herramienta "ft_tool" abre un socket, que permanecerá "escuchando" los paquetes entrantes, y los atacantes en la red local pueden reactivar la backdoor en el citado puerto TCP, mediante el envío de determinados paquetes:

  • El parámetro EtherType debe ser igual a "0x8888".
  • La carga debe contener un hash MD5 con el valor DGN1000 (45d1bb339b07a6618b2114dbc0d7783e).
  • El tipo de paquete debe ser 0x201.

image

Por lo tanto, un atacante podría reactivar la "puerta trasera" alojada en el TCP 32764, para así poder ejecutar comandos en los routers vulnerables, incluso tras haber instalado el último firmware.

Muchos se preguntan hoy en día el motivo por el cual los fabricantes de estos aparatos dejan abierta la puerta a backdoors de forma tan frecuente. Quizá la respuesta esté en la denostada NSA y las facilidades que podría estar concediendo estas empresas, aunque son especulaciones.

Actualmente, no existe parche alguno para esta nueva vulnerabilidad descubierta. Si queréis comprobar si vuestro touter está afectado por esta backdoor, os recomendamos descargar el exploit denominado Proof-of-Concept (Prueba de concepto) o introducir los siguientes parámetros manualmente:

  1. Utiliza "binwalk-e" para extraer el sistema de archivos.
  2. Busca "ft_tool" o grep -r "scfgmgr" -f
  3. Usa IDA para confirmar.

Sobre esta noticia

Autor:
Mejor Antivirus (323 noticias)
Fuente:
mejor-antivirus.es
Visitas:
2404
Tipo:
Reportaje
Licencia:
Creative Commons License
¿Problemas con esta noticia?
×
Denunciar esta noticia por

Denunciar

Comentarios

Aún no hay comentarios en esta noticia.