Au début de cette année , nous avons rapporté sur la porte dérobée secret » TCP 32764 » découvert dans plusieurs routeurs , y compris, Linksys , Netgear , Cisco et diamant qui a permis à un attaquant d'envoyer des commandes aux routeurs vulnérables à port TCP 32764 à partir d'une ligne de commande débourser sans être authentifié en tant qu'administrateur .
Le Reverse- ingénieur de France Eloi Vanderbeken , qui a découvert ce backdoor a constaté que bien que la faille a été corrigée dans la dernière version du firmware , mais SerComm a ajouté de nouveau la même porte dérobée d'une autre manière .(décevant)
Pour vérifier le patch publié , récemment, il a téléchargé la version du firmware patché 1.1.0.55 de Netgear DGN1000 et décompressé en utilisant binwalk outil. Il a constaté que le fichier ' scfgmgr ' qui contient la porte dérobée est toujours présent là-bas avec une nouvelle option "-l" , qui limite ce que pour une communication socket interprocessus locale ( socket de domaine Unix ) , ou seulement pour les processus en cours d'exécution sur le même dispositif .
Le complément d'enquête par ingénierie inverse les binaires , il a trouvé un autre outil mystérieux appelé « ft_tool " avec l'option "-f" qui pourraient ré- active la backdoor TCP .
Dans son rapport illustré (ci-dessous ) , il a expliqué que « ft_tool « effectivement ouvrir une socket raw , qui écoute les paquets entrants et les attaquants sur le réseau local peut réactiver la porte dérobée au port TCP 32764 en envoyant des paquets spécifiques suivants:
EtherType paramètre doit être égal à '0 x8888 ' .
Charge utile devrait contient hachage MD5 du DGN1000 de valeur ( 45d1bb339b07a6618b2114dbc0d7783e ) .
Le type d'emballage devrait être 0x201 .
Ainsi, un attaquant peut réactiver le TCP 32764 porte dérobée afin d'exécuter des commandes shell sur les routeurs de SerComm vulnérables , même après l'installation de la version corrigée .
Maintenant la question se lève , pourquoi les fabricants de routeurs ajoutent encore et encore des portes dérobées intentionnels ? Peut -être la raison derrière à un coup de main pour l'agence de renseignement américaine NSA .
Actuellement, il n'existe pas de patch disponible pour backdoor nouvellement découvert . Si vous voulez vérifier votre routeur sans fil pour cette porte dérobée , vous pouvez télécharger Proof-of - Concept ( PoC ) exploit publié par le chercheur partir d'ici ou suivez les étapes ci-dessous donnés manuellement:
Utilisez ' binwalk -e' pour extraire le système de fichiers
Recherche pour ' ft_tool »ou grep- r' scfgmgr - f
Utilisez l'IDA pour confirmer.
REF.:
Le Reverse- ingénieur de France Eloi Vanderbeken , qui a découvert ce backdoor a constaté que bien que la faille a été corrigée dans la dernière version du firmware , mais SerComm a ajouté de nouveau la même porte dérobée d'une autre manière .(décevant)
Pour vérifier le patch publié , récemment, il a téléchargé la version du firmware patché 1.1.0.55 de Netgear DGN1000 et décompressé en utilisant binwalk outil. Il a constaté que le fichier ' scfgmgr ' qui contient la porte dérobée est toujours présent là-bas avec une nouvelle option "-l" , qui limite ce que pour une communication socket interprocessus locale ( socket de domaine Unix ) , ou seulement pour les processus en cours d'exécution sur le même dispositif .
Le complément d'enquête par ingénierie inverse les binaires , il a trouvé un autre outil mystérieux appelé « ft_tool " avec l'option "-f" qui pourraient ré- active la backdoor TCP .
Dans son rapport illustré (ci-dessous ) , il a expliqué que « ft_tool « effectivement ouvrir une socket raw , qui écoute les paquets entrants et les attaquants sur le réseau local peut réactiver la porte dérobée au port TCP 32764 en envoyant des paquets spécifiques suivants:
EtherType paramètre doit être égal à '0 x8888 ' .
Charge utile devrait contient hachage MD5 du DGN1000 de valeur ( 45d1bb339b07a6618b2114dbc0d7783e ) .
Le type d'emballage devrait être 0x201 .
Ainsi, un attaquant peut réactiver le TCP 32764 porte dérobée afin d'exécuter des commandes shell sur les routeurs de SerComm vulnérables , même après l'installation de la version corrigée .
Maintenant la question se lève , pourquoi les fabricants de routeurs ajoutent encore et encore des portes dérobées intentionnels ? Peut -être la raison derrière à un coup de main pour l'agence de renseignement américaine NSA .
Actuellement, il n'existe pas de patch disponible pour backdoor nouvellement découvert . Si vous voulez vérifier votre routeur sans fil pour cette porte dérobée , vous pouvez télécharger Proof-of - Concept ( PoC ) exploit publié par le chercheur partir d'ici ou suivez les étapes ci-dessous donnés manuellement:
Utilisez ' binwalk -e' pour extraire le système de fichiers
Recherche pour ' ft_tool »ou grep- r' scfgmgr - f
Utilisez l'IDA pour confirmer.
REF.:
Aucun commentaire:
Publier un commentaire