Acceso remoto no documentado en routers DSL Linksys y Netgear
Se ha publicado un estudio del router WAG200G de la firma Linksys,
perteneciente a Cisco, en el que entre otros datos, se hace eco de la
existencia de una conexión de servicio no documentada que permitiría
acceder de manera remota y sin autenticar, mediante el puerto TCP 32764.
Según el análisis realizado a su propio router doméstico por el
investigador Eloi Vanderbeken (@elvanderb), dicho modelo traería de
serie una conexión remota no documentada a través del puerto 32764. Este
puerto abierto, responde de manera genérica ante cualquier petición con
la siguiente respuesta:
“ScMM\xFF\xFF\xFF\xFF\x00\x00\x00\x00”
…equivalente a un servicio de broadcast a la escucha (255.255.255.255
0.0.0.0 ). Este modelo de router, como muchos en el mercado está basado
en Linux. Tras el análisis del firmware con herramientas forenses como
‘binwalk’, pudo obtener el sistema de ficheros (squashfs) y acceder a
los diferentes servicios de comunicación para así obtener la estructura
del protocolo de comunicación utilizado y poder reproducirlo, mediante
ingeniería inversa. También detectó diferentes vulnerabilidades en el
firmware como desbordamientos de memoria basados en pila o escalada de
directorios.
Según la prueba de concepto publicada, se conseguiría un acceso y
control total del dispositivo (Shell) a través de este puerto sin ningún
tipo de autenticación. Así mismo se podrían realizar denegaciones de
servicio, pudiendo resetear la configuración de fábrica o la obtención
de la configuración del sistema (Routercfg.cfg).
Mediante la colaboración de diferentes usuarios, se ha confirmado la
existencia de este acceso no documentado en los siguientes modelos y
firmas:
LINKSYS: WAG200G, WAG320N, WAG54G2, WAG120N, WAG160N
NETGEAR: DM111Pv2, DGN1000, DG834G, DGN3500, DGND3300
CISCO: WAP4410N
Y tras los diferentes modelos analizados, posiblemente esta “puerta
trasera” esté relacionada con la firma SerComm, que elabora routers y
módems para diferentes fabricantes como Linksys, por lo que la lista de
afectados podría ser mayor:
Lista de router basados en SerComm http://bit.ly/1dWYqUH
Todo indica que una cuenta de administración, utilizada seguramente
durante el proceso de desarrollo del firmware, no ha sido
convenientemente deshabilitada tras el paso a producción de los routers,
llegando activa a los usuarios.
Dependiendo de cada modelo, éste será accesible fuera de la red local o
WLAN a través de Internet, por lo que se recomienda tomar las medidas
oportunas para proteger el acceso, ya que según apunta ISC, los escaneos
de puertos están en aumento durante estos días.
__________
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Los comentarios están cerrados.