Linksys и Netgear: Даешь бэкдоры в массы!

Не так давно упоминалось про обнаружение уязвимостей в маршрутизаторах DLink, для которых, в конечном итоге производитель выпустил обновления, даже для моделей, уже снятых с производства. Теперь отличились компании Linksys и Netgear. В некоторых маршрутизаторах этих компаний обнаружен бэкдор.

Один из владельцев роутера Linksys WAG200G заметил, что железка слушает в мир на порту 32764, хотя никакого сервиса для работы на этом порту не предвиделось. Начав разбираться, автор обнаружил, что при подключении к роутеру на данный порт, маршрутизатор возвращает определенную последовательность символов. Вооружившись дебагером, было установлено, что при подключении с определенными параметрами, роутер возвращает конфигурационные параметры, в том числе имя и пароль администратора, пароль к безпроводной сети и так далее.

Помимо бэкдора, в ходе разбирательства было обнаружено еще несколько проблем в коде прошивки, использование которых может привести к удаленному выполнению кода, со всеми вытекающими из этого печальными последствиями.

На данный момент, наличие бэкдора обнаружено так-же и в других роутерах. Для того, чтоб узнать, есть-ли бэкдор в вашем роутере, следует поискать его модель на сайте автора, обнаружившего бэкдор. Также, вы можете проверить наличие бэкдора сами:

1. Откройте в браузере следующую строку: http://ip_адрес_вашего_роутера:32764
2. Зайдите на специально подготовленный сайт и нажмите кнопку start backdor scan
   
3. Воспользуйтесь комадой telnet ip_адрес_вашего_роутера 32764
4. Ну и последний способ для гиков - запустите у себя на компьютере Python скрипт, но для этого, у вас должен быть установлен Python. Запускать скрипт нужно следующим образом: python poc.py --ip ip_адрес_вашего_роутера. Например, python poc.py --ip 192.168.1.1

Для того, чтоб устранить данную проблему, имеется несколько вариантов:

1. Установить альтернативную прошивку, например OpenWRT.
2. Закрыть слушающий порт средствами фаервола встроенного в роутер
3. После каждой перезагрузки роутера, останавливать сервис, слушающий на порту 32764.
4. Ну и последний, самый радикальный способ - купить новый роутер.

Похоже, производители модемов и маршрутизаторов решили по полной выслужиться перед АНБ, в связи с чем, хотелось-бы порекомендовать всем, у кого данные имеют цену больше чем 0 - обзавестись собственным роутером, построненным на базе старенького компьютера. Тем самым вы обезопасите себя от появления в дальнейшем таких сюрпризов как этот бэкдор от компаний Linksys и Netgear, слушающий на порту 32764.