前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >32764端口后门重出江湖,影响多款路由器

32764端口后门重出江湖,影响多款路由器

作者头像
FB客服
发布2018-02-02 15:43:39
1.1K0
发布2018-02-02 15:43:39
举报
文章被收录于专栏:FreeBuf

在年初的时候已经发布关于秘密后门——“TCP 32764”的报道,利用该后门漏洞,未授权的攻击者可以通过该端口访问设备,以管理员权限在受影响设备上执行设置内置操作系统指令,进而取得设备的控制权。许多我们耳熟能详的路由器纷纷“躺枪”,诸如Linksys、Netgear、Cisco和Diamond。

该后门发现者是一位来自法国的逆向工程师,叫Eloi Vanderbeken。他表明在最新的固件版本升级中已经修补了这一漏洞,但是这不妨碍SerComm以其他方式再次添加了相同的后门。

为了验证研究所谓的最新发布的补丁,Vanderbeken下载了Netgear DGN100的固件补丁1.1.0.55版本,并通过binwalk这一后门分析工具对其进行了分析。然后他发现之前后门包含的scfgmgr文件依然存在,只是限制本地进程间的通信(Unix domain socket)和同一个设备上的进程。

之后通过逆向工程对二进制文件进一步调查分析,他发现了另一款叫做“ft_tool”的神秘工具,通过它可以重新激活TCP后门。

在他的报告中解释,“ft_tool”实际打开一个原始套接字,通过侦听传入的数据包,从而使本地网络可以发送下列特别的数据包激活tcp端口32764。

代码语言:javascript
复制
以太类型参数应等于'0 x8888'。有效载荷应该包含DGN1000的MD5值(45d1bb339b07a6618b2114dbc0d7783e)。该数据包类型
应该是0x201。

报告文件:

http://static.3001.net/upload/20140522/14006932091296.rar

所以如果你使用的是SerComm路由器,尽管你已经更新了最新版本,很不幸的是攻击者仍然可以通过shell命令重新激活TCP 32764后门。

当然你或学会问,为啥子这些路由器制造厂商会如此“恬不知耻”地一而再再而三的添加内置后门呢。这期间曲折或许是因为隐藏在这些厂商后面的那只“无形”的手——NSA.

就目前而言还没有发现针对此类后门的最新补丁,如果你想检查自己的路由器是否躺枪,可以点击下方“阅读原文”参照源代码。

或者按照下面步骤进行检查:

代码语言:javascript
复制
1.使用“binwalk -e”提取系统文件
2.检索“ft_tool”或scfgmgr文件
3.通过IDA反汇编进行确认

原文地址

http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2014-05-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档