domenica 27 luglio 2014

Cos'è La Vulnerabilità TCP 32764 (Router)

All'inizio dell'anno, un bug(backdoor) che affliggeva router di varie aziende come LinkSys, Netgear, Cisco e Diamond ha seminato il panico.
Tale backdoor permetteva a un attaccante di inviare comandi ai modelli affetti attraverso la porta TCP 32764, usando una semplice stringa di comando.
Non era nemmeno necessario essere autenticati come amministratori.
L'ingegnere incaricato di invertire il processo, Eloi Vandebeken, ha scoperto che anche se il bug di sicurezza è stato patchato con le ultime installazioni del firmware, dopo qualche tempo è ricomparso in maniera un po' differente.
Per verificare la patch lanciata, ha deciso di scaricare il nuovo firmware della versione 1.1.0.55, lanciato recentemente per il modello Netgear DGN1000.
Ha estratto tale pacchetto attraverso lo strumento binwalk.
Si è allora reso conto che il file scfgmgr, che contiene la backdoor, è ancora presente nel file e con una nuova opzione "-I" la quale lo limita a una comunicazione interprocessuale di socket local (Unix Domain Socket) o semplicemente, per i processi in esecuzione dello stesso dispositivo in cui si esegue.
Proseguendo con la ricerca, ha realizzato il reverse engineering sui file, e ha trovato anche un misterioso strumento chiamato "ft_tool" con l'opzione "-f" che permette di riattivare la backdoor posta nella porta TCP 32764.

Nessun commento:

Posta un commento