linksys2Aan het begin van dit jaar berichtten we over de geheime achterdeur 'TCP 32764'  in verschillende routers , waaronder, Linksys, Netgear, Cisco en Diamond. Via TCP poort 32764 kon een aanvaller opdrachten verzenden met behulp van een command-line shell zonder dat verificatie als beheerder nodig is.

Eloi Vanderbeken, de Reverse-ingenieur uit Frankrijk, die deze backdoor ontdekte heeft vastgesteld dat ondanks de fout is hersteld in de laatste firmware release, SerComm dezelfde achterdeur op een andere manier weer heeft toegevoegd.

Om de vrijgegeven patch te controleren, gebruikt hij de gepatchte firmware versie 1.1.0.55 van Netgear DGN1000 en het binwalk tool om deze uit te pakken. Hij vond dat het bestand 'scfgmgr' nog steeds aanwezig is en ook dezelfde achterdeur bevat.  Er is een nieuwe optie "-l" aanwezig die dat slechts beperkt voor het lokale socket interprocescommunicatie (Unix domein socket), of alleen voor de processen op het locale apparaat.

Via reverse engineering van de binaries, vond hij een andere mysterieuze tool  genaamd 'ft_tool'. Met de optie "-f " kon opnieuw de TCP achterdeur worden geactiveerd.

In zijn verslag, legt hij uit dat het 'ft_tool' daadwerkelijk een raw socket opent en naar naar binnenkomende pakketten luistert. Door het sturen van de volgende specifieke pakketten kan de aanvaller de achterdeur op TCP poort 32764 reactiveren. Het gaat om de de volgende specifieke pakketten:

  • Ethertype parameter moet gelijk zijn aan '0 x8888 'zijn.
  • De Payload moet de MD5 hash van de waarde DGN1000 (45d1bb339b07a6618b2114dbc0d7783e) bevatten.
  • Het type pakket moet 0x201 zijn.

 

Dus zelfs na het installeren van de gepatchte versie kan de aanvaller de achterdeur reactiveren!

Nu vraag rijst, waarom de routers fabrikanten opnieuw en opnieuw opzettelijk backdoors toevoegen? Wellicht om de NSA een helpende hand te bieden?  Momenteel is er geen patch beschikbaar voor pas ontdekte backdoor. Als u wilt dat uw draadloze router te controleren op deze backdoor, kunt u Proof-of-Concept (PoC) downloaden.

Of handmatig door de onderstaande stappen te volgen:

  1. Gebruik 'binwalk-e' om het bestandssysteem te extraheren
  2. Zoeken naar 'ft_tool' of grep-r 'scfgmgr-f
  3. Gebruik IDA te bevestigen.