Backdoor ukryty w patchu routerów Wi-Fi

W grudniu 2013 r. Eloi Vanderbecken odkrył, że hakerzy mogą wykorzystać router Wi-Fi Linksys, aby uzyskać uprawnienia administratora i manipulować lokalnymi zasobami sieciowymi bez poświadczeń administracyjnych. Urządzenie działało na nieudokumentowanym numerze portu (32764), co pozwoliło mu wykonać kilka poleceń, w tym uruchomić skrypt i zdobyć uprawnienia administratora. 

Początkowo backdoor wymagał od atakującego, aby znajdował się on w sieci lokalnej. Nieprzerobione pakiety Ethernet zostały wysłane z poziomu lokalnej bezprzewodowej sieci LAN lub z urządzeń dostawcy usług internetowych. Vanderbeken później donosił, że niektóre routery mogą być zhakowane przez internet, a także mogły sprawić, że były podatnymi na zdalne ataki.

W rezultacie, systemy oparte na tym samym modemie - Sercomm - w tym routery domowe od Netgear, Cisco i Diamond, otrzymały aktualizację by uszczelnić lukę. Jednak specjaliści od zabezpieczeń ujawnili niedawno, że usterka komunikacji występuje także w nowym kodzie. Backdoor może być reaktywowany przez pakiet sieciowy używany przez stare narzędzia do aktualizacji Sercomm.  

Kiedy backdoor zostanie ponownie włączony, monitoruje ruch TCP / IP i umożliwia hakerom wysyłanie polecenia do routera, w tym „zrzut” całej konfiguracji. To również daje dostęp do funkcji sprzętowych, takich jak miganie świateł routera. Ponieważ każda wersja firmware jest dostosowana do producenta i numeru modelu, suma kontrolna dla każdego urządzenia będzie inna. Jedynym sposobem, aby znaleźć lukę jest wyodrębnienie poszczególnych plików z oprogramowania i sprawdzenie kodu w poszukiwaniu tej części, która nasłuchuje dla pakietu o nazwie „ft_tool” lub zawiera polecenie reaktywacji backdoor’a (scgmgr-f).

Ze względu na różnorodność modeli i wytwórców, ilość wadliwych urządzeń nie jest znana. Producenci nie przedstawili oficjalnej odpowiedzi na ten temat.