All’inizio di quest’anno, ho segnalato  il backdoor segreto ‘32764 TCP’ scoperto in diversi router, tra cui, Linksys, Netgear, Cisco e Diamante che ha permesso a un hacker di inviare comandi al router sulla porta 32764 TCP da una riga di comando shell senza essere autenticato come amministratore.

Il ” Reverse- Engineering” Eloi Vanderbeken, che ha scoperto questo backdoor ha scoperto che, anche se il difetto è stato aggiornato alla versione più recente del firmware, ma SerComm ha aggiunto ancora lo stesso backdoor in un altro modo.

Per verificare la patch rilasciata, recentemente ha scaricato il firmware patchato versione 1.1.0.55 di Netgear DGN1000, scompattato utilizzando binwalk . Ha scoperto che il file ‘scfgmgr’ che contiene la backdoor è ancora presente lì con una nuova opzione “-l”, che limita soltanto per una comunicazione socket  locale (socket di dominio Unix), o solo per i processi in esecuzione sullo stesso dispositivo.
Su ulteriori indagini tramite reverse engineering, ha trovato un altro strumento misterioso con chiamata ‘ft_tool’ con l’opzione “-f” che potrebbe ri-attivare la backdoor TCP.

Nella sua relazione illustrata (vedi sotto), ha spiegato che ‘ft_tool’ effettivamente apre un raw socket, che ascolta i pacchetti in entrata e attaccanti sulla rete locale in grado di riattivare la backdoor sulla porta TCP 32764 inviando i seguenti pacchetti specifici:

  • EtherType parametro deve essere uguale a ‘0 x8888 ‘.
  • Payload dovrebbe contenere MD5 hash del DGN1000 (45d1bb339b07a6618b2114dbc0d7783e).
  • Il tipo di pacchetto dovrebbe essere 0x201.

Quindi, un utente malintenzionato può riattivare la backdoor 32764 TCP al fine di eseguire i comandi della shell nei router SerComm vulnerabili anche dopo aver installato la versione patchata.
Ora  ladomanda aumenta, perché i produttori di router stanno aggiungendo ancora e ancora backdoor intenzionali? Ci sarà dietro l’agenzia di intelligence americana NSA?
Attualmente non esiste una patch disponibile per il backdoor scoperto. Se si desidera controllare il router wireless per questa backdoor, è possibile scaricare Proof-of-Concept (PoC) exploit rilasciato dal ricercatore partire da qui o seguire i passi di seguito indicati manualmente:

  • Utilizzare ‘binwalk-e’ per estrarre il file system
  • Search for ‘ft_tool’ o grep-r ‘scfgmgr-f
  • Utilizzare IDA per confermare.