Vào đầu năm nay, chúng tôi đã báo cáo về cửa hậu bí mật ‘TCP 32764’ được phát hiện trong một số bộ định tuyến bao gồm Linksys, Netgear, Cisco và Diamond cho phép kẻ tấn công gửi lệnh đến các bộ định tuyến dễ bị tấn công tại cổng TCP 32764 từ một dòng lệnh. shell mà không được xác thực là quản trị viên.
Kỹ sư đảo ngược đến từ Pháp Eloi Vanderbekenngười phát hiện ra cửa hậu này đã phát hiện ra rằng mặc dù lỗ hổng đã được vá trong bản phát hành phần sụn mới nhất, nhưng SerComm đã thêm lại cửa hậu tương tự theo cách khác.
Để xác minh bản vá đã phát hành, gần đây anh ấy đã tải xuống phiên bản phần sụn đã vá 1.1.0.55 của Netgear DGN1000 và giải nén nó bằng công cụ binwalk. Anh ấy thấy rằng tệp ‘scfgmgr’ chứa cửa hậu vẫn còn ở đó với một tùy chọn mới “-l“, điều đó chỉ giới hạn cho giao tiếp liên tiến trình ổ cắm cục bộ (ổ cắm miền Unix) hoặc chỉ cho các tiến trình chạy trên cùng một thiết bị.
Khi điều tra thêm thông qua kỹ thuật đảo ngược các tệp nhị phân, anh ấy đã tìm thấy một công cụ bí ẩn khác có tên là ‘ft_tool‘ với “-f“tùy chọn có thể kích hoạt lại cửa hậu TCP.
Trong báo cáo minh họa của mình (hiển thị bên dưới), anh ấy giải thích rằng ‘ft_tool’ thực sự mở một ổ cắm thô, lắng nghe các gói gửi đến và những kẻ tấn công trên mạng cục bộ có thể kích hoạt lại cửa hậu tại cổng TCP 32764 bằng cách gửi các gói cụ thể sau:
- Tham số EtherType phải bằng ‘0x8888’.
- Tải trọng phải chứa hàm băm MD5 có giá trị DGN1000 (45d1bb339b07a6618b2114dbc0d7783e).
- Loại gói phải là 0x201.
Vì vậy, kẻ tấn công có thể kích hoạt lại cửa hậu TCP 32764 để thực thi các lệnh shell trên các bộ định tuyến SerComm dễ bị tổn thương ngay cả sau khi cài đặt phiên bản vá lỗi.
Bây giờ câu hỏi đặt ra, tại sao các nhà sản xuất bộ định tuyến lại cố tình thêm các cửa hậu?? Có thể là lý do đằng sau để được một bàn tay giúp đỡ cho các cơ quan tình báo Hoa Kỳ NSA.
Hiện tại không có bản vá nào cho backdoor mới được phát hiện. Nếu bạn muốn kiểm tra bộ định tuyến không dây của mình để tìm cửa hậu này, bạn có thể tải xuống khai thác Proof-of-Concept (PoC) do nhà nghiên cứu phát hành từ đây hoặc thực hiện theo các bước được cung cấp bên dưới theo cách thủ công:
- Sử dụng ‘binwalk -e’ để giải nén hệ thống tệp
- Tìm kiếm ‘ft_tool’ hoặc grep -r ‘scfgmgr -f
- Sử dụng IDA để xác nhận.
