miércoles, 28 de enero de 2015

Puerto TCP 32764 o una puerta abierta en numerosos routers de Cisco, ¿bug masivo o backdoor intencionado?

Hace tiempo alguien se extrañó al ver que en su router Netgear estaba abierto el puerto TCP 32764... pero es ahora a principios de año cuando el francés Eloi Vanderbeken ha alertado a la Comunidad al advertir la presencia de un backdoor corriendo en este puerto en numerosos routers Netgear, Linksys y Cisco.

Después de un análisis de firmware, Vanderbeken descubrió numerosas vulnerabilidades como desbordamientos de memoria basados en pila o path traversal, llegando a conseguir el acceso y control total del dispositivo (shell) a través de este puerto sin ningún tipo de autenticación. Así mismo se podrían realizar denegaciones de servicio, pudiendo resetear la configuración de fábrica o la obtención de la configuración del sistema (routercfg.cfg).

En el repositorio GitHub de Vanderbeken podrás encontrar un listado de los modelos de routers vulnerables ya confirmados así como una descripción de la vulnerabilidad y la PoC correspondientes:


https://github.com/elvanderb/TCP-32764
  
Ante eso, Cisco ha tenido que confirmar finalmente la existencia de esta puerta trasera indocumentada en varios de sus routers que podrían permitir a un atacante remoto "obtener acceso de root en un dispositivo afectado" por medio de lo que llaman "una interfaz de prueba indocumentada en el servicio TCP 32764".

"Un atacante podría aprovechar esta vulnerabilidad mediante el acceso al dispositivo afectado desde la interfaz de la LAN y ejecutar arbitrariamente comandos en el sistema operativo subyacente. Un exploit podría permitir al atacante acceder a las credenciales de usuario de la cuenta de administrador del dispositivo, y leer la configuración del dispositivo" afirmó la empresa.

¿Realmente se trata de un fallo y olvidaron eliminar un "interfaz de prueba" en NUMEROSAS versiones de firmware de NUMEROSOS dispositivos? Ni de cagando Cuesta creerlo... así que parece tratarse de otro backdoor que nos regala el fabricante...


Fuentes:
Cisco Discloses Existence of Undocumented Backdoor in Routers 
Acceso remoto no documentado en routers DSL Linksys y Netgear 
Backdoor found in many consumer routers and WAPs (Port 32764 vulnerability) 
Netgear, Linksys and many other Wireless Routers have a backdoor 
CVE-2014-0659

No hay comentarios:

Publicar un comentario