32764端口后门重出江湖，影响多款路由器

在年初的时候已经发布关于秘密后门——“TCP 32764”的报道，利用该后门漏洞，未授权的攻击者可以通过该端口访问设备，以管理员权限在受影响设备上执行设置内置操作系统指令，进而取得设备的控制权。许多我们耳熟能详的路由器纷纷“躺枪”，诸如Linksys、Netgear、Cisco和Diamond。

该后门发现者是一位来自法国的逆向工程师，叫Eloi Vanderbeken。他表明在最新的固件版本升级中已经修补了这一漏洞，但是这不妨碍SerComm以其他方式再次添加了相同的后门。

为了验证研究所谓的最新发布的补丁，Vanderbeken下载了Netgear DGN100的固件补丁1.1.0.55版本，并通过binwalk这一后门分析工具对其进行了分析。然后他发现之前后门包含的scfgmgr文件依然存在，只是限制本地进程间的通信（Unix domain socket）和同一个设备上的进程。

之后通过逆向工程对二进制文件进一步调查分析，他发现了另一款叫做“ft_tool”的神秘工具，通过它可以重新激活TCP后门。

在他的报告中解释，“ft_tool”实际打开一个原始套接字，通过侦听传入的数据包，从而使本地网络可以发送下列特别的数据包激活tcp端口32764。

以太类型参数应等于'0 x8888'。有效载荷应该包含DGN1000的MD5值（45d1bb339b07a6618b2114dbc0d7783e）。该数据包类型
应该是0x201。

报告文件：

http://static.3001.net/upload/20140522/14006932091296.rar

所以如果你使用的是SerComm路由器，尽管你已经更新了最新版本，很不幸的是攻击者仍然可以通过shell命令重新激活TCP 32764后门。

当然你或学会问，为啥子这些路由器制造厂商会如此“恬不知耻”地一而再再而三的添加内置后门呢。这期间曲折或许是因为隐藏在这些厂商后面的那只“无形”的手——NSA.

就目前而言还没有发现针对此类后门的最新补丁，如果你想检查自己的路由器是否躺枪，可以点击下方“阅读原文”参照源代码。

或者按照下面步骤进行检查：

1.使用“binwalk -e”提取系统文件
2.检索“ft_tool”或scfgmgr文件
3.通过IDA反汇编进行确认

原文地址

http://thehackernews.com/2014/04/router-manufacturers-secretly-added-tcp.html