Linksys и Netgear: Даешь бэкдоры в массы!

01/07/2014 - 01:30

Не так давно упоминалось про обнаружение уязвимостей в маршрутизаторах DLink, для которых, в конечном итоге производитель выпустил обновления, даже для моделей, уже снятых с производства. Теперь отличились компании Linksys и Netgear. В некоторых маршрутизаторах этих компаний обнаружен бэкдор.

Один из владельцев роутера Linksys WAG200G заметил, что железка слушает в мир на порту 32764, хотя никакого сервиса для работы на этом порту не предвиделось. Начав разбираться, автор обнаружил, что при подключении к роутеру на данный порт, маршрутизатор возвращает определенную последовательность символов. Вооружившись дебагером, было установлено, что при подключении с определенными параметрами, роутер возвращает конфигурационные параметры, в том числе имя и пароль администратора, пароль к безпроводной сети и так далее.

Помимо бэкдора, в ходе разбирательства было обнаружено еще несколько проблем в коде прошивки, использование которых может привести к удаленному выполнению кода, со всеми вытекающими из этого печальными последствиями.

На данный момент, наличие бэкдора обнаружено так-же и в других роутерах. Для того, чтоб узнать, есть-ли бэкдор в вашем роутере, следует поискать его модель на сайте автора, обнаружившего бэкдор. Также, вы можете проверить наличие бэкдора сами:

  1. Откройте в браузере следующую строку: http://ip_адрес_вашего_роутера:32764
  2. Зайдите на специально подготовленный сайт и нажмите кнопку start backdor scan
  3. Воспользуйтесь комадой telnet ip_адрес_вашего_роутера 32764
  4. Ну и последний способ для гиков - запустите у себя на компьютере Python скрипт, но для этого, у вас должен быть установлен Python. Запускать скрипт нужно следующим образом: python poc.py --ip ip_адрес_вашего_роутера. Например, python poc.py --ip 192.168.1.1

Для того, чтоб устранить данную проблему, имеется несколько вариантов:

  1. Установить альтернативную прошивку, например OpenWRT.
  2. Закрыть слушающий порт средствами фаервола встроенного в роутер
  3. После каждой перезагрузки роутера, останавливать сервис, слушающий на порту 32764.
  4. Ну и последний, самый радикальный способ - купить новый роутер.

Похоже, производители модемов и маршрутизаторов решили по полной выслужиться перед АНБ, в связи с чем, хотелось-бы порекомендовать всем, у кого данные имеют цену больше чем 0 - обзавестись собственным роутером, построненным на базе старенького компьютера. Тем самым вы обезопасите себя от появления в дальнейшем таких сюрпризов как этот бэкдор от компаний Linksys и Netgear, слушающий на порту 32764.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Разрешённые HTML-теги: <a> <s> <u> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <hr> <dd> <sub> <sup>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Защита от СПАМ ботов. Подтвердите, пожалуйста, что вы человек.
1 + 5 =
Решите эту простую математическую задачу и введите результат. Например, для 1+3, введите 4.