Se ha publicado un estudio del router WAG200G de la firma Linksys, perteneciente a Cisco, en el que entre otros datos, se hace eco de la existencia de una conexión de servicio no documentada que permitiría acceder de manera remota y sin autenticar, mediante el puerto TCP 32764.
Según el análisis realizado a su propio router doméstico por el investigador Eloi Vanderbeken (@elvanderb), dicho modelo traería de serie una conexión remota no documentada a través del puerto 32764. Este puerto abierto, responde de manera genérica ante cualquier petición con la siguiente respuesta:
«ScMM\xFF\xFF\xFF\xFF\x00\x00\x00\x00«
…equivalente a un servicio de broadcast a la escucha (255.255.255.255 0.0.0.0 ). Este modelo de router, como muchos en el mercado está basado en Linux. Tras el análisis del firmware con herramientas forenses como ‘binwalk‘, pudo obtener el sistema de ficheros (squashfs) y acceder a los diferentes servicios de comunicación para así obtener la estructura del protocolo de comunicación utilizado y poder reproducirlo, mediante ingeniería inversa. También detectó diferentes vulnerabilidades en el firmware como desbordamientos de memoria basados en pila o escalada de directorios.
Según la prueba de concepto publicada, se conseguiría un acceso y control total del dispositivo (Shell) a través de este puerto sin ningún tipo de autenticación. Así mismo se podrían realizar denegaciones de servicio, pudiendo resetear la configuración de fábrica o la obtención de la configuración del sistema (Routercfg.cfg).
Mediante la colaboración de diferentes usuarios, se ha confirmado la existencia de este acceso no documentado en los siguientes modelos y firmas:
LINKSYS: WAG200G, WAG320N, WAG54G2, WAG120N, WAG160N
NETGEAR: DM111Pv2, DGN1000, DG834G, DGN3500, DGND3300
CISCO: WAP4410N
Y tras los diferentes modelos analizados, posiblemente esta «puerta trasera» esté relacionada con la firma SerComm, que elabora routers y módems para diferentes fabricantes como Linksys, por lo que la lista de afectados podría ser mayor:
Lista de routers basados en SerComm http://bit.ly/1dWYqUH
Todo indica que una cuenta de administración, utilizada seguramente durante el proceso de desarrollo del firmware, no ha sido convenientemente deshabilitada tras el paso a producción de los routers, llegando activa a los usuarios.
Dependiendo de cada modelo, éste será accesible fuera de la red local o WLAN a través de Internet, por lo que se recomienda tomar las medidas oportunas para proteger el acceso, ya que según apunta ISC, los escaneos de puertos están en aumento durante estos días.
Más información:
Some codes and notes about the backdoor listening on TCP-32764 inlinksys WAG200G.
TCP/32764 backdoor
Scans Increase for New Linksys Backdoor (32764/TCP)
Backdoor found in Linksys, Netgear Routers
José Mesa Orihuela
Deja un comentario