Исходное сообщение
"В обновлениях прошивки Linksys и Netgear выявлен замаскирова..." Отправлено opennews, 22-Апр-14 13:58
Eloi Vanderbeken, исследователь безопасности, выявивший (https://www.opennet.ru/opennews/art.shtml?num=38771) в декабре наличие бэкдора в 24 моделях (https://github.com/elvanderb/TCP-32764/) беспроводных маршрутизаторов Linksys, Diamond и Netgear, опубликовал доклад (http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf), показывающий, что в выпущенных обновлениях прошивки декабрьский бэкдор не устранён, а лишь замаскирован и остаётся доступен для активации. После выхода обновления прошивок, в которых возможность удалённого управления устройством через TCP-порт 32764 списывалась на ошибку, Eloi Vanderbeken повторил своё исследование и выявил, что бинарный файл с реализацией протокола для удалённого управления по-прежнему входит в состав прошивки, но не запускается по умолчанию. Копнув глубже исследователь обнаружил, что данный файл вызывается из приложения ft_tool, которое открывает raw-сокет и прослушивает трафик. При появлении в перехваченном трафике ethernet-пакета с типом 0x8888 и специальной сигнатурой (MD5 от кодового имени продукта), осуществляется активация бэкдора через запуск процесса "scfgmgr -f &". Таким образом бэкдор, позволяющий получить полное управление над устройством, может быть активирован любым пользователем локальной сети или со стороны ближайшего шлюза провайдера. Более того, при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес, а при получении пакета с типом 0x202 - позволяет изменить IP LAN-интерфейса. Для определения наличия бэкдора предлагается использовать специально подготовленный прототип эксплоита (http://synacktiv.com/ressources/ethercomm.c) или распаковать прошивку при помощи утититы 'binwalk -e'  и осуществить поиск по маске "scfgmgr -f" (grep -r 'scfgmgr -f'). URL: http://arstechnica.com/security/2014/04/easter-egg-dsl-route.../ Новость: https://www.opennet.ru/opennews/art.shtml?num=39619