The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

22.04.2014 13:50  В обновлениях прошивки Linksys и Netgear выявлен замаскированный бэкдор

Eloi Vanderbeken, исследователь безопасности, выявивший в декабре наличие бэкдора в 24 моделях беспроводных маршрутизаторов Linksys, Diamond и Netgear, в которых используются технологии тайваньской компании Sercomm, опубликовал доклад, показывающий, что в выпущенных обновлениях прошивки декабрьский бэкдор не устранён, а лишь замаскирован и остаётся доступным для активации.

После выхода обновления прошивок, в которых возможность удалённого управления устройством через TCP-порт 32764 списывалась на ошибку, Eloi Vanderbeken повторил своё исследование и выявил, что бинарный файл с реализацией протокола для удалённого управления по-прежнему входит в состав прошивки, но не запускается по умолчанию. Копнув глубже исследователь обнаружил, что данный файл вызывается из приложения ft_tool, которое открывает raw-сокет и прослушивает трафик. При появлении в перехваченном трафике ethernet-пакета с типом 0x8888 и специальной сигнатурой (MD5 от кодового имени продукта), осуществляется активация бэкдора через запуск процесса "scfgmgr -f &".

Таким образом бэкдор, позволяющий получить полное управление над устройством, может быть активирован любым пользователем локальной сети или со стороны ближайшего шлюза провайдера. Более того, при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес, а при получении пакета с типом 0x202 - позволяет изменить IP LAN-интерфейса. Для определения наличия бэкдора предлагается использовать специально подготовленный прототип эксплоита (проверен на модели NetGear DGN1000) или распаковать прошивку при помощи утилиты 'binwalk -e' и осуществить поиск по маске "scfgmgr -f" (grep -r 'scfgmgr -f').

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: В результате атаки Windigo вредоносным ПО поражены более 25 тысяч Linux и UNIX серверов
  3. OpenNews: Разработчики Replicant выявили бэкдор в смартфонах и планшетах Samsung Galaxy
  4. OpenNews: В беспроводных маршрутизаторах Linksys и Netgear выявлен бэкдор
  5. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
  6. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dsl, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Карбофос, 13:58, 22/04/2014 [ответить] [смотреть все]
  • +33 +/
    видимо, их очень попросили оставить бэкдор в покое
     
     
  • 2.6, 20844382831239512354123831238712390, 14:24, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +7 +/
    Надо воспользоваться уязвимостями в сетевом оборудовании их собственной сети.
    Зайти, забрать исходники, форкнуть на гитхабе.
     
     
  • 3.36, dq0s4y71, 17:52, 22/04/2014 [^] [ответить] [смотреть все]
  • +16 +/
    Думаешь, они такие дураки, что пользуются сами тем же говном, которое продают нам? :)
     
     
  • 4.60, upyx, 07:05, 23/04/2014 [^] [ответить] [смотреть все]
  • +2 +/
    Кто знает? Попробовать можно.
     
  • 2.10, Аноним, 14:50, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Интересно как он запрятан в продукции бывшей материнской компаннии LinkSys а м... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Andrey Mitrofanov, 15:06, 22/04/2014 [^] [ответить] [смотреть все]  
  • +2 +/
    В новом pdf-е ссылка внизу 4 affected manufacturers Cisco, Linksys, NetGea... весь текст скрыт [показать]
     
  • 1.2, Аноним, 14:02, 22/04/2014 [ответить] [смотреть все]  
  • +/
    Молодцы...Альтернативные прошивки типа DD-WRT проблему решают?
     
     
  • 2.4, Stellarwind, 14:14, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    В них нет никакого scfgmgr, нет и проблемы.
     
  • 2.5, commiethebeastie, 14:21, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Почти, но там дрова проприентарные.
     
     
  • 3.9, Аноним, 14:40, 22/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Как будто в фирменной прошивке свободные.
     
     
  • 4.14, ананим, 15:20, 22/04/2014 [^] [ответить] [смотреть все]  
  • +7 +/
    КО намекает, что это могут быть далеко не все найденные бэкдоры.
     
     
     
    Часть нити удалена модератором

  • 6.29, irinat, 16:17, 22/04/2014 [ответить] [смотреть все]  
  • +4 +/
    КП намекает, что это могут быть далеко не все найденные бэкдоры ... весь текст скрыт [показать]
     
  • 3.85, Аноним, 12:57, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Ну так покупайте железо поддерживаемое openwrt и проблем не будет Там список не... весь текст скрыт [показать]
     
  • 1.3, alexey, 14:14, 22/04/2014 [ответить] [смотреть все]  
  • +3 +/
    Это опять тот чувак с прикольными картинками в отчете?
    Жаль, что новый отчет не нарисовал.
     
     
  • 2.11, Аноним, 14:51, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +16 +/
    Нарисовал: http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
     
     
  • 3.38, maxis11, 18:47, 22/04/2014 [^] [ответить] [смотреть все]  
  • –3 +/
    >If payload == md5(''DGN1000'').

    И тут меня накрыло XD

     
  • 1.7, Alen, 14:25, 22/04/2014 [ответить] [смотреть все]  
  • +6 +/
    Ну вот, теперь опять бедным производителям придется бэкдоры переписывать :)
     
     
  • 2.22, Аноним, 15:46, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ничего, платить-то за это переписывание будут покупатели ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, клоун Стаканчик, 15:50, 22/04/2014 [^] [ответить] [смотреть все]  
  • –6 +/
    Платить за это будет компания-производитель И если она столь настойчиво хочет в... весь текст скрыт [показать]
     
     
  • 4.63, Аноним, 07:46, 23/04/2014 [^] [ответить] [смотреть все]  
  • +/
    не, это АНБ требует а если быть точным DHS который через FCC - насаждает а ис... весь текст скрыт [показать]
     
  • 4.72, Аноним, 12:02, 23/04/2014 [^] [ответить] [смотреть все]  
  • +/
    За счет повышения цены для конечных пользователей, естественно Это потребность ... весь текст скрыт [показать]
     
     
  • 5.78, Anonym2, 01:04, 24/04/2014 [^] [ответить] [смотреть все]  
  • +/
    За счёт снижения цен на устройства как ни странно В том числе из-за рекламы пре... весь текст скрыт [показать]
     
  • 1.31, Ivan_83, 16:38, 22/04/2014 [ответить] [смотреть все]  
  • –1 +/
    Это ж капец как производительность должно просаживать такое прослушивание всех пакетов.
     
     
  • 2.32, клоун Стаканчик, 16:52, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Пакеты с типом 0x8888 приходят нечасто.
     
     
  • 3.86, Аноним, 12:59, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Но пока не сравнишь - не узнаешь что 0x8888 ... весь текст скрыт [показать]
     
  • 2.33, ABATAPA, 16:53, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Отнюдь. man fwknock ; man knockd
     
  • 2.34, Мегазаычы, 16:54, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    именно поэтому парсятся не все пакеты, а только с определённым ethernet-типом с... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, Ivan_83, 22:24, 22/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Чтобы это попало в ядро и потом с сокет, нужно чтобы пакет не угодил в аппаратны... весь текст скрыт [показать]
     
     
  • 4.58, axe, 02:40, 23/04/2014 [^] [ответить] [смотреть все]  
  • +/
    матчинг по типу пакетов реализован в железе Всяческие ACL работают же, в том чи... весь текст скрыт [показать]
     
     
  • 5.64, Аноним, 07:47, 23/04/2014 [^] [ответить] [смотреть все]  
  • +/
    в железе реализованное это - можно было увидеть в продукта, лет 12 назад, само... весь текст скрыт [показать]
     
     
  • 6.84, axe2, 01:48, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Хм, вы имеете в виду, что внутри ASIC может работать софт ... весь текст скрыт [показать]
     
  • 5.75, Ivan_83, 16:07, 23/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Ничё не мешает, только 1 не всякое железо это умеет 2 нужно ещё суметь заюзат... весь текст скрыт [показать]
     
  • 2.41, Аноним, 18:53, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    стелстнетов - вагон к счастью - не все юзают raw-траффик с лютым зашумлением и... весь текст скрыт [показать] [показать ветку]
     
  • 1.35, Аноним, 17:44, 22/04/2014 [ответить] [смотреть все]  
  • +/
    Прошивки не нужны.

    Даёшь свободный загрузчик с полноценным дистрибутивом.

     
     
  • 2.42, Аноним, 18:53, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    с загрузчиком-то как раз и будут проблемы даже у OpenWRT бо ряд платформ - чуд... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.88, Аноним, 13:01, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    А зачем грызть кактус Вон народ например u-boot для атеросов адски допилил, вот... весь текст скрыт [показать]
     
  • 3.97, Аноним, 13:01, 27/04/2014 [^] [ответить] [смотреть все]  
  • +/
    На помойку такие девайсы Производителя в блэклист ... весь текст скрыт [показать]
     
  • 2.87, Аноним, 13:00, 25/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    U-boot openwrt Enjoy Да-да, все можно пересобрать из сорцов И железо на кот... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.98, Аноним, 13:03, 27/04/2014 [^] [ответить] [смотреть все]  
  • +/
    > U-boot + Debian. Enjoy!

    Пофикшено.

     
  • 1.45, Аноним, 19:36, 22/04/2014 [ответить] [смотреть все]  
  • +1 +/
    в целом - описан стандартный способ реализации все трех CALEA и вот ПОЧЕМУ - фе... весь текст скрыт [показать]
     
     
  • 2.46, Аноним, 19:43, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    и Lawful Intercept извне USA - перманентно превращается в Illegal Intelligence G... весь текст скрыт [показать] [показать ветку]
     
  • 1.48, Alex, 20:08, 22/04/2014 [ответить] [смотреть все]  
  • –1 +/
    Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на полноценном десктопе собственной сборки!
     
     
  • 2.51, Аноним, 21:11, 22/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Верно; давно пора отказаться от шайтан-коробок в пользу олдскульных самосборных роутеров на *BSD и Pentium II.
     
     
  • 3.61, upyx, 07:16, 23/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Втыкая в них новые шайтан-сетевухи - ... весь текст скрыт [показать]
     
  • 3.89, Аноним, 13:02, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Попутно вычищая бэкдоры из IPSec-ов и SMM режима i386 ... весь текст скрыт [показать]
     
  • 2.65, Аноним, 07:50, 23/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ага, елозящем на проце с SMM,а то и с VT-d и TCN Линус, внезапно - тоже не в ки... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.66, Аноним, 07:50, 23/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    надо на ROSA перелезать похоже ... весь текст скрыт [показать]
     
     
  • 4.80, arisu, 12:49, 24/04/2014 [^] [ответить] [смотреть все]  
  • +1 +/
    ага в рамках поддержки отечественного ФСБ, а не буржуйского АНБ ... весь текст скрыт [показать]
     
  • 2.74, tonys, 15:46, 23/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ты уже изучил BIOS своего компа на предмет закладок В 64 Mb можно прошить полно... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.96, Alex, 18:41, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    А что, BIOS ы с backdoor ами тоже бывают И случаи реальные есть И прям ставишь... весь текст скрыт [показать]
     
     
  • 4.99, pavel, 10:52, 28/04/2014 [^] [ответить] [смотреть все]  
  • +/
    https www pgpru com forum prakticheskajabezopasnostj chegostoitichegonestoitbo... весь текст скрыт [показать]
     
  • 4.100, Andrey Mitrofanov, 15:37, 28/04/2014 [^] [ответить] [смотреть все]  
  • +/
    https www schneier com blog archives 2014 02 swap_nsa_exploi html Зачем сразу ... весь текст скрыт [показать]
     
  • 2.76, hummermania, 16:26, 23/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Всегда выступал за роутеры на базе обычных компов, но контрагруементов много - и... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, Аноним, 20:26, 23/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    купите nITX или pITX борду с 2х или 4х ядерным процом с 10W-25W TDP и будет счас... весь текст скрыт [показать]
     
     
  • 4.81, Аноним, 17:16, 24/04/2014 [^] [ответить] [смотреть все]  
  • –1 +/
    В этих формфакторах в основном слабые и прожорливые системы via, и ни о каких pc... весь текст скрыт [показать]
     
  • 4.90, Аноним, 13:04, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    И получите черти-какой проприетарный BIOS в подарок А возможно еще и фирмвари E... весь текст скрыт [показать]
     
  • 1.50, anonymus, 20:29, 22/04/2014 [ответить] [смотреть все]  
  • +/
    Либо списывайте сроки фишерам, кракерам и прочим бесчестным IT-шникам, либо сажайте за такое производителей железа и тех, кто их распространяет. А иначе будет у вас в государстве чучело вместо закона.
     
     
  • 2.82, Аноним, 17:17, 24/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У нас чучело. Какие твои дальнейшие действия?
     
  • 1.52, Ydro, 21:28, 22/04/2014 [ответить] [смотреть все]  
  • +/
    Я вот не пойму: У нас в России сертификация электроники только на уровне "Током не бьёт", "Не воняет", "Мозг излучению не мешает", а то, что данные устройства работают в гос.учреждениях, предприятиях - как говорится заходи бери персональные данные, анализируй работу предприятий. Чего говорить про прошивки, если у Dr.Web трафик со скриптом обновления не шифруется. Не знаю как сейчас, раньше там точно Lua скрипты использовались. При этом он сертифицирован, сами посмотрите на их сайте кем. В общем, что можно с этим делать думаю понятно. У нас вообще хоть один телефон проходил проверку на уровне прошивок. Безопасность страны не только у границ проходит.
     
     
  • 2.83, Аноним, 17:20, 24/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Это вся безопасности страны не касается Безопасники вообще работают без интер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.95, Аноним, 13:13, 25/04/2014 [^] [ответить] [смотреть все]  
  • +/
    Оно и видно - даже во всяких бункерах прослеживается обычная такая винда на скри... весь текст скрыт [показать]
     
  • 1.53, Ydro, 21:38, 22/04/2014 [ответить] [смотреть все]  
  • +/
    Я извиняюсь, и одновременно просто вахаю от этого, выдержка: Dr.Web соответствует требованиям Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006, предъявляемым как к антивирусным подсистемам локальной сети компании, так и к подсистемам защиты от несанкционированного доступа и может применяться в сетях, соответствующих максимально возможному уровню защищенности, включая сети, защищенные по классу К1.

     
  • 1.56, хм, 23:26, 22/04/2014 [ответить] [смотреть все]  
  • +/
    Я так понимаю наличие бекдора обязательно для получения сертификатов соответствия.
    Коммуникационные устройства без бекдоров вообще можно распространять, или все что продается заряжено?
     
  • 1.57, Аноним, 01:21, 23/04/2014 [ответить] [смотреть все]  
  • +/
    звездец. Забить деревянным молоточком досмерти их.
    в tp-link находили бекдоры?
     
     
  • 2.68, Аноним, 10:38, 23/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    tp-link бэкдоры не нужны они дырявые чуть более чем полностью
     
  • 2.91, Аноним, 13:06, 25/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вопрос неправильно поставлен В почти всех прошивках с фабрики или бэкдоры или п... весь текст скрыт [показать] [показать ветку]
     
  • 1.59, Аноним, 05:15, 23/04/2014 [ответить] [смотреть все]  
  • +/
    черный список где по бэкдорщине ?
    сайт
     
     
  • 2.92, Аноним, 13:06, 25/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > черный список где по бэкдорщине ?

    А это мысль. Hall of shame :).


     
  • 1.62, FSA, 07:29, 23/04/2014 [ответить] [смотреть все]  
  • +/
    > при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес

    Вот тут не понял. Отправить пакет можно только с ближайшего маршрутизатора провайдера. Однако в этом случае MAC-адрес устройства обязан появиться в сети по ARP запросу, иначе просто никто с этим устройством не будет общаться.

     
     
  • 2.69, anonymous, 10:41, 23/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не понял о чём Вы, но в PPPoE, к примеру, ARP нет.
     
     
  • 3.71, Аноним, 11:05, 23/04/2014 [^] [ответить] [смотреть все]  
  • +/
    есть L2TP, есть стремительно набирающий популярность VPLS и тругие TE и LDP -пау... весь текст скрыт [показать]
     
  • 2.70, alexey, 11:03, 23/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    ARP - уровнем выше Здесь коммутация в пределах одного сегмента, IP адреса не ну... весь текст скрыт [показать] [показать ветку]
     
  • 2.94, Аноним, 13:12, 25/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Или прицепившись к вафле и кинув пакетик издали Комар носа не подточит - мужичо... весь текст скрыт [показать] [показать ветку]
     
  • 1.67, Аноним, 07:58, 23/04/2014 [ответить] [смотреть все]  
  • +/
    опа мне пакеты по этим адрессам начали валиться на гейты раньше - за полтора ... весь текст скрыт [показать]
     
  • 1.73, PSV, 15:42, 23/04/2014 [ответить] [смотреть все]  
  • +/
    ещё и лампочками поморгать можно :)
     
  • 1.79, arisu, 12:44, 24/04/2014 [ответить] [смотреть все]  
  • +2 +/
    и это тоже ошибка, ага. «мы радость доставить хотели вам!»
     
     
  • 2.93, Аноним, 13:07, 25/04/2014 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да, нечаянно упал на мой кулак лицом, и так пять раз подряд ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by BSH TopList