Hace tiempo alguien se extrañó al ver que en su router Netgear estaba abierto el puerto TCP 32764... pero es ahora a principios de año cuando el francés Eloi Vanderbeken ha alertado a la Comunidad al advertir la presencia de un backdoor corriendo en este puerto en numerosos routers Netgear, Linksys y Cisco.Después de un análisis de firmware, Vanderbeken descubrió numerosas vulnerabilidades como desbordamientos de memoria basados en pila o path traversal, llegando a conseguir el acceso y control total del dispositivo (shell) a través de este puerto sin ningún tipo de autenticación. Así mismo se podrían realizar denegaciones de servicio, pudiendo resetear la configuración de fábrica o la obtención de la configuración del sistema (routercfg.cfg).
En el repositorio GitHub de Vanderbeken podrás encontrar un listado de los modelos de routers vulnerables ya confirmados así como una descripción de la vulnerabilidad y la PoC correspondientes:
https://github.com/elvanderb/TCP-32764
Ante eso, Cisco ha tenido que confirmar finalmente la existencia de esta puerta trasera indocumentada en varios de sus routers que podrían permitir a un atacante remoto "obtener acceso de root en un dispositivo afectado" por medio de lo que llaman "una interfaz de prueba indocumentada en el servicio TCP 32764".
"Un atacante podría aprovechar esta vulnerabilidad mediante el acceso al dispositivo afectado desde la interfaz de la LAN y ejecutar arbitrariamente comandos en el sistema operativo subyacente. Un exploit podría permitir al atacante acceder a las credenciales de usuario de la cuenta de administrador del dispositivo, y leer la configuración del dispositivo" afirmó la empresa.
¿Realmente se trata de un fallo y olvidaron eliminar un "interfaz de prueba" en NUMEROSAS versiones de firmware de NUMEROSOS dispositivos?
Fuentes:
- Cisco Discloses Existence of Undocumented Backdoor in Routers
- Acceso remoto no documentado en routers DSL Linksys y Netgear
- Backdoor found in many consumer routers and WAPs (Port 32764 vulnerability)
- Netgear, Linksys and many other Wireless Routers have a backdoor
- CVE-2014-0659
No hay comentarios:
Publicar un comentario