A comienzos de este año, tuvimos acceso a informaciones sobre un Backdoor o puerta trasera secreta, existente en routers de varias empresas como LinkSys, Netgear, Cisco y Diamond. Dicha backdoor permitía a un atacante enviar comandos a los modelos afectados, a través de su puerto TCP 32764 , usando para ello una linea de comandos. No era necesario que estuviera autenticado como administrador.

El ingeniero encargado de revertir el proceso, Eloi Vandebeken, descubrió que, aunque el fallo de seguridad fué parcheado en las últimas instalaciones de firmware, ahora ha reaparecido de forma un poco diferente.

Para verificar el parche lanzado, decidió descargarse el nuevo firmware de la versión 1.1.0.55, lanzado recientemente para el modelo Netgear DGN1000. Extrajo dicho paquete mediante la herramienta binwalk. Entonces se dió cuenta de que el archivo scfgmgr , que contiene la puerta trasera, está aún presente en el archivo y con una nueva opción "-I" que lo limita a una comunicación interprocesal de socket local (Unix Domain Socket) o simplemente, para los procesos en ejecución en el mismo dispositivo donde se ejecuta.

Prosiguiendo con la investigación, realizando ingeniería inversa en los ficheros, encontró además una misteriosa herramienta llamada "ft_tool" con la opción "-f" que permite reactivar la puerta trasera hallada en el puerto TCP 32764.

En su informe ilustrado, que podéis ver a continuación, explica que la herramienta "ft_tool" abre un socket, que permanecerá "escuchando" los paquetes entrantes, y los atacantes en la red local pueden reactivar la backdoor en el citado puerto TCP, mediante el envío de determinados paquetes:

• El parámetro EtherType debe ser igual a "0x8888".
• La carga debe contener un hash MD5 con el valor DGN1000 (45d1bb339b07a6618b2114dbc0d7783e).
• El tipo de paquete debe ser 0x201.

Por lo tanto, un atacante podría reactivar la "puerta trasera" alojada en el TCP 32764, para así poder ejecutar comandos en los routers vulnerables, incluso tras haber instalado el último firmware.

Muchos se preguntan hoy en día el motivo por el cual los fabricantes de estos aparatos dejan abierta la puerta a backdoors de forma tan frecuente. Quizá la respuesta esté en la denostada NSA y las facilidades que podría estar concediendo estas empresas, aunque son especulaciones.

Actualmente, no existe parche alguno para esta nueva vulnerabilidad descubierta. Si queréis comprobar si vuestro touter está afectado por esta backdoor, os recomendamos descargar el exploit denominado Proof-of-Concept (Prueba de concepto) o introducir los siguientes parámetros manualmente:

1. Utiliza "binwalk-e" para extraer el sistema de archivos.
2. Busca "ft_tool" o grep -r "scfgmgr" -f
3. Usa IDA para confirmar.