Avisos 07 de January, 2014

Porta del darrere a múltiples routers

S'ha detectat una porta del darrere (backdoor) a múltiples routers de diversos fabricants (Cisco, Linksys, Netgear, Diamond, LevelOne), que permeten a un atacant remot obtenir la configuració del dispositiu, inclosa la contrasenya d'administrador.

Impacte
 
Control total del dispositiu.
 
Productes afectats
 
Porta del darrere escoltant a peticions d'Internet present a:
Cisco WAP4410N-E 2.0.1.0, 2.0.3.3, 2.0.4.2, 2.0.6.1
Linksys WAG120N
Netgear DG834B V5.01.14
Netgear DGN2000 1.1.1, 1.1.11.0, 1.3.10.0, 1.3.11.0, 1.3.12.0
OpenWAG200
 
Porta del darrere present a:
Cisco RVS4000 fwv 2.0.3.2
Cisco WAP4410N
Cisco WRVS4400N
Diamond DSL642WLG / SerComm IP806Gx v2 TI 
LevelOne WBR3460B 
Linksys RVS4000 Firmware V1.3.3.5
Linksys WAG120N
Linksys WAG160n v1 and v2 
Linksys WAG200G
Linksys WAG320N
Linksys WAG54G2
Linksys WRT350N v2 fw 2.00.19
Linksys WRT300N fw 2.00.17
Netgear DG834[∅, GB, N, PN, GT] versions anteriors a la 5
Netgear DGN1000 
Netgear DGN1000[B] N150
Netgear DGN2000B
Netgear DGN3500
Netgear DGND3300 
Netgear DGND3300Bv2 fwv 2.1.00.53_1.00.53GR
Netgear DM111Pv2 
Netgear JNR3210
 
Porta del darrere possiblement present a:
Tots els dispositius SerComm 
Linksys WAG160N
Netgear DG934
Netgear WG602, WGR614
Netgear WPNT834
 
El llistat actualitzat de productes afectats es pot trobar a https://github.com/elvanderb/TCP-32764/blob/master/README.md.
 
Solució
 
A l'espera de que els diferents fabricants proporcionin alguna actualització de seguretat, es poden seguir les següents recomanacions:
 
En alguns routers es pot activar un tallafocs al mateix dispositiu, que permet bloquejar el port 32764. Depenent del router això és possible a la interfície d'Internet i/o la interna. Consulteu el manual del vostre router per obtenir les instruccions concretes.
Instal·lar un programari de codi obert com OpenWRT o Tomato (només si el dispositiu és compatible). 
Instal·lar la nova versió de firmware que publiqui el proveïdor.
 
Detall
 
S'ha descobert recentment que múltiples routers contenen una porta del darrere (backdoor), que permet a un atacant remots obtenir  la configuració del dispositiu, inclosa la contrasenya d'administrador.
 
Tot va començar quan Eloi Vanderbeken va trobar al seu router Linksys WAG200G un procés del escoltant al port TCP 32764. Després d'analitzar el codi va descobrir que era possible extreure la configuració del router (inclosa la contrasenya d'administrador) amb aquest procés sense contrasenya.
 
Després de publicar la informació a la xarxa, altres usuaris van comunicar que altres fabricants i models tenien el mateix problema. 
 
En alguns routers el procés "només" està a l'escolta de peticions a la xarxa interna (que també és susceptible de ser atacada pel navegador de l'usuari), però alguns a més són accessibles des d'Internet. Escanejar aquests routers a Internet és fàcil amb eines com ZMap, que només tarda 45 minuts en analitzar tot l'espai d'adreces IPv4 d'Internet.
 
Per comprovar si el nostre router es troba també afectat es pot utilitzar el següent script (en Python): https://github.com/elvanderb/TCP-32764/blob/master/poc.py. 
 
La comanda d'execució és la següent: poc.py python --ip <adreça IP del router>  
Si l'script troba quelcom, es pot extreure la configuració del router afegint la opció --print_conf a la comanda.
 
Per comprovar si el procés és també accessible a través d'Internet es pot utilitzar la següent eina: http://www.router-backdoor.de/?lang=en
 
Referències
Publicació d'Eloi Vanderbeken sobre el backdoor descobert al seu dispositiu (descripció del backdoor, prova de concepte, llistat actual de productes afectats)
Scans Increase for New Linksys Backdoor (32764/TCP)
Publicat a: Avisos