Các nhà sản xuất bí mật cài đặt Backdoor TCP 32764 một lần nữa
Đầu năm nay, chúng ta đã được nghe nói đến một backdoor bí mật là TCP 32764 được phát hiện ở một vài bộ định tuyến bao gồm Linksys, Netgear, Cisco và Diamond . Backdoor này cho phép kẻ tấn công gửi các lệnh đến những bộ định tuyến theo cổng TCP 32764 từ một dòng lệnh shell mà không cần bất ...
Đầu năm nay, chúng ta đã được nghe nói đến một backdoor bí mật là TCP 32764 được phát hiện ở một vài bộ định tuyến bao gồm Linksys, Netgear, Cisco và Diamond. Backdoor này cho phép kẻ tấn công gửi các lệnh đến những bộ định tuyến theo cổng TCP 32764 từ một dòng lệnh shell mà không cần bất cứ sự xác thực nào của quản trị mạng.
Một Reverse-Engneer (ngưởi chuyên dịch ngược phần mềm) đến từ Pháp – Eloi Vanderbeken đã phát hiện ra backdoor này và nhận thấy rằng mặc dù lỗ hổng này đã được vá trong phiên bản Firmware mới nhất, tuy nhiên Sercomm đã cài thêm một backdoor tương tự bằng một cách khác
Để xác minh các bản vá phát hành, Eloi đã tải bản vá Firmware 1.1.0.5.5 của Netgear DGN1000 và Unpacked bằng cách sử dụng Binwalk tool. Anh phát hiện ra rằng file ‘scfgmgr’ chứa backdoor kia vẫn nằm ở đó với một tùy chọn mới “–l”, nó giới hạn việc giao tiếp quan socket trong mạng cục bộ (Unix domain socket) hay các tiến trình đang thực hiện trên cùng một thiết bị.
Trong quá trình reverse, Eloi còn phát hiện một công cụ bí ẩn khác được gọi là ‘ft_tool’ với tùy chọn “–f” có khả năng tái kích hoạt backdoor TCP.
Bạn có thể theo dõi bài trình bày của Eloi tại đây: http://www.slideshare.net/evilhackerz/tcp32764-backdoor-again
Trong bài trình bày của mình Eloi giải thích rằng thực sự ‘ft_tool’ có khả năng mở được một socket, có thể nghe được các gói tin đến và nguy hiểm hơn, những kẻ tấn công trong mạng cục bộ có thể kích hoạt lại backdoor kia ở cổng TCP 32764 bằng cách gửi những gói tin cụ thể sau:
- EtherType: ‘0x8888’
- Payload bao gồm mã hash MD5 của DNG1000 (45d1bb339b07a6618b2114dbc0d7783e)
- Loại gói tin là 0x201
Như vậy, một kẻ tấn công có thể tái kích hoạt backdoor TCP 32764 để thực thi các shell command trên các bộ định tuyến Sercomm kể cả sau khi đã cài đặt bản vá.
Vấn đề đang trở nên nghiêm trọng và câu hỏi đặt ra là tại sao các nhà sản xuất bộ định tuyến lại có thể cài các backdoor một cách có chủ ý một lần nữa như vậy? Rất có thể lý do đằng sau chính là sự tiếp tay của cơ quan tình báo Mỹ – NSA.
Hiện nay, chưa có một bản vá chính thức nào cho backdoor mới được phát hiện này. Nếu bạn muốn kiểm tra các bộ định tuyến không dây về backdoor này, bạn có thể tải Proof-of-Concept (PoC) được giới thiệu bởi các nhà nghiên cứu tại đây hoặc theo các bước thủ công dưới đây:
- Sử dụng ‘binwalk-e’ để extract các file system.
- Tìn kiếm ‘ ft_tool‘ hoặc grep -r ‘scfgmgr –f’
- Cuối cùng, sử dụng IDA để xác nhận
Nguồn thehackernews.com