在年初的时候已经发布关于秘密后门——“TCP 32764”的报道,利用该后门漏洞,未授权的攻击者可以通过该端口访问设备,以管理员权限在受影响设备上执行设置内置操作系统指令,进而取得设备的控制权。许多我们耳熟能详的路由器纷纷“躺枪”,诸如Linksys、Netgear、Cisco和Diamond。
该后门发现者是一位来自法国的逆向工程师,叫Eloi Vanderbeken。他表明在最新的固件版本升级中已经修补了这一漏洞,但是这不妨碍SerComm以其他方式再次添加了相同的后门。
为了验证研究所谓的最新发布的补丁,Vanderbeken下载了Netgear DGN100的固件补丁1.1.0.55版本,并通过binwalk这一后门分析工具对其进行了分析。然后他发现之前后门包含的scfgmgr文件依然存在,只是限制本地进程间的通信(Unix domain socket)和同一个设备上的进程。
之后通过逆向工程对二进制文件进一步调查分析,他发现了另一款叫做“ft_tool”的神秘工具,通过它可以重新激活TCP后门。
在他的报告中解释,“ft_tool”实际打开一个原始套接字,通过侦听传入的数据包,从而使本地网络可以发送下列特别的数据包激活tcp端口32764。
以太类型参数应等于'0 x8888'。有效载荷应该包含DGN1000的MD5值(45d1bb339b07a6618b2114dbc0d7783e)。该数据包类型
应该是0x201。
报告文件:
http://static.3001.net/upload/20140522/14006932091296.rar
所以如果你使用的是SerComm路由器,尽管你已经更新了最新版本,很不幸的是攻击者仍然可以通过shell命令重新激活TCP 32764后门。
当然你或学会问,为啥子这些路由器制造厂商会如此“恬不知耻”地一而再再而三的添加内置后门呢。这期间曲折或许是因为隐藏在这些厂商后面的那只“无形”的手——NSA.
就目前而言还没有发现针对此类后门的最新补丁,如果你想检查自己的路由器是否躺枪,可以点击下方“阅读原文”参照源代码。
或者按照下面步骤进行检查:
1.使用“binwalk -e”提取系统文件
2.检索“ft_tool”或scfgmgr文件
3.通过IDA反汇编进行确认
原文地址
http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html