32764 otwiera się od jednego pakietu: bożonarodzeniowa luka w routerach wróciła na Wielkanoc
Ostatnie święta Bożego Narodzenia przyniosły użytkownikom 24popularnych modeli routerów niemiłą niespodziankę – furtkęukrytą w ich firmware, pozwalającą na zresetowanie konfiguracjiurządzenia i uzyskanie zdalnego dostępu do paneluadministracyjnego. Według producentów felernych urządzeń, lukazostała załatana w kolejnych aktualizacjach oprogramowania. Wedługjej odkrywcy, Eloi Vanderbreckena, nie do końca. Na świętaWielkiej Nocy użytkownicy tego sprzętu mogli cieszyć się„odgrzewanym” prezentem spod choinki. Furtka nie tylko niezostała usunięta, ale ukryto ją głębiej.
Przypomnijmy – Vanderbrecken, ekspert od bezpieczeństwa z firmySynacktiv Digital Security, odwiedzając swoją rodzinę podczasBożego Narodzenia, odkrył przypadkiem w używanym przez jegorodziców punkcie dostępowym Linksys WAG200G, że urządzenie tonasłuchuje na nieudokumentowanym porcie (32764) i można w tensposób wysłać mu polecenia sterujące bez koniecznościuwierzytelnienia się.
Gdy Vanderbrecken opublikował swoje odkrycie, szybko okazałosię, że ta sama furtka tkwi w innych urządzeniach zawierającychmodem DSL wyprodukowany przez chińską firmę Sercomm. Wśród nichbyły popularne routery od Cisco (w tym modele sprzedawane pod markąLinksys), Netgeara i Diamonda. Łatki dla tych wszystkich urządzeńwydane zostały w styczniu.
Z jakiegoś jednak tajemniczego powodu, łatki dla furtki wcalejej nie usunęły, lecz jedynie ukryły przed pobieżną inspekcją.Eloi Vanderbrecken swoją analizę tego, co zostało zrobione,opublikował w dostępnejtutaj prezentacji. W skrócie można powiedzieć, że łatka,która miała furtkę usunąć, wyłącza nasłuch na porcie 32764…do momentu, aż logujący się zdalnie do urządzenia użytkownik niewyśle odpowiednio spreparowanego pakietu sieciowego, który furtkęreaktywuje.
Analiza struktury pakietu pokazała, że jest ona taka sama, jakużywana w starejwersji narzędzia aktualizacyjnego Sercommu – i wykorzystywanaw ataku 834root,pozwalającym przejąć kontrolę nad niektórym modelami routerówNetgeara. W samym pakiecie znajduje się skrót MD5 numeru modeluurządzenia. Odkrywca podkreśla, że to nie jest żadna pomyłka zestrony producenta. Wykorzystanie starego kodu, który dawaładministracyjny dostęp do ukrytego portu dowodzi, że to klasycznyprzykład It'snot a bug, it's a feature*.*
Włączenie portu zapewniającegoadministracyjny dostęp wymaga dostępu do urządzenia z poziomusieci lokalnej lub z WAN-u dostawcy Internetu, atak nie jest możliwypoprzez publiczny Internet. Wystarczy jednak, że ISP roześle takipakiet w trybie rozgłaszania w swojej sieci, a wszystkie „załatane”urządzenia zostaną udostępnione zainteresowanym osobom z zewnątrz.Napastnicy będą mogli nasłuchiwać cały ruch TCP/IP przez takieurządzenia, zmieniać ich konfigurację, a nawet cieszyć siębezpośrednim dostępem do sprzętu (Vanderbrecken pokazał, jak wten sposób można kontrolować diody LED routera).
