The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

22.04.2014 13:50  В обновлениях прошивки Linksys и Netgear выявлен замаскированный бэкдор

Eloi Vanderbeken, исследователь безопасности, выявивший в декабре наличие бэкдора в 24 моделях беспроводных маршрутизаторов Linksys, Diamond и Netgear, в которых используются технологии тайваньской компании Sercomm, опубликовал доклад, показывающий, что в выпущенных обновлениях прошивки декабрьский бэкдор не устранён, а лишь замаскирован и остаётся доступным для активации.

После выхода обновления прошивок, в которых возможность удалённого управления устройством через TCP-порт 32764 списывалась на ошибку, Eloi Vanderbeken повторил своё исследование и выявил, что бинарный файл с реализацией протокола для удалённого управления по-прежнему входит в состав прошивки, но не запускается по умолчанию. Копнув глубже исследователь обнаружил, что данный файл вызывается из приложения ft_tool, которое открывает raw-сокет и прослушивает трафик. При появлении в перехваченном трафике ethernet-пакета с типом 0x8888 и специальной сигнатурой (MD5 от кодового имени продукта), осуществляется активация бэкдора через запуск процесса "scfgmgr -f &".

Таким образом бэкдор, позволяющий получить полное управление над устройством, может быть активирован любым пользователем локальной сети или со стороны ближайшего шлюза провайдера. Более того, при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес, а при получении пакета с типом 0x202 - позволяет изменить IP LAN-интерфейса. Для определения наличия бэкдора предлагается использовать специально подготовленный прототип эксплоита (проверен на модели NetGear DGN1000) или распаковать прошивку при помощи утилиты 'binwalk -e' и осуществить поиск по маске "scfgmgr -f" (grep -r 'scfgmgr -f').

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: В результате атаки Windigo вредоносным ПО поражены более 25 тысяч Linux и UNIX серверов
  3. OpenNews: Разработчики Replicant выявили бэкдор в смартфонах и планшетах Samsung Galaxy
  4. OpenNews: В беспроводных маршрутизаторах Linksys и Netgear выявлен бэкдор
  5. OpenNews: Опубликован прототип бэкдора в генераторе псевдослучайных чисел Dual_EC_DRBG, входившем в стандарт NIST
  6. OpenNews: Представлена техника атаки на микроконтроллеры, встроенные в MicroSD-карты
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: dsl, backdoor
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Карбофос (ok), 13:58, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]
  • +33 +/
    видимо, их очень попросили оставить бэкдор в покое
     
     
  • 2.6, 20844382831239512354123831238712390 (?), 14:24, 22/04/2014 [^] [ответить]    [к модератору]
  • +7 +/
    Надо воспользоваться уязвимостями в сетевом оборудовании их собственной сети.
    Зайти, забрать исходники, форкнуть на гитхабе.
     
     
  • 3.36, dq0s4y71 (ok), 17:52, 22/04/2014 [^] [ответить]    [к модератору]
  • +16 +/
    Думаешь, они такие дураки, что пользуются сами тем же говном, которое продают нам? :)
     
     
  • 4.60, upyx (??), 07:05, 23/04/2014 [^] [ответить]    [к модератору]
  • +2 +/
    Кто знает? Попробовать можно.
     
  • 2.10, Аноним (-), 14:50, 22/04/2014 [^] [ответить]    [к модератору]
  • +/
    Интересно как он запрятан в продукции бывшей материнской компаннии LinkSys ( а может в Cisc-ах совсем все пакеты парсят ;) ).
     
     
  • 3.12, Andrey Mitrofanov (?), 15:06, 22/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    > Интересно как он запрятан в продукции бывшей материнской компаннии LinkSys

    В новом pdf-е (ссылка внизу):

    * 4 affected manufacturers (Cisco, Linksys, NetGear, Diamond)

     
  • 1.2, Аноним (2), 14:02, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Молодцы...Альтернативные прошивки типа DD-WRT проблему решают?
     
     
  • 2.4, Stellarwind (?), 14:14, 22/04/2014 [^] [ответить]    [к модератору]  
  • +4 +/
    В них нет никакого scfgmgr, нет и проблемы.
     
  • 2.5, commiethebeastie (ok), 14:21, 22/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    Почти, но там дрова проприентарные.
     
     
  • 3.9, Аноним (-), 14:40, 22/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Как будто в фирменной прошивке свободные.
     
     
  • 4.14, ананим (?), 15:20, 22/04/2014 [^] [ответить]    [к модератору]  
  • +7 +/
    КО намекает, что это могут быть далеко не все найденные бэкдоры.
     
     
     
    Часть нити удалена модератором

  • 6.29, irinat (ok), 16:17, 22/04/2014 [ответить]    [к модератору]  
  • +4 +/
    > Не путайте очевидность с параноей.

    КП намекает, что это могут быть далеко не все найденные бэкдоры.

     
  • 3.85, Аноним (-), 12:57, 25/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Почти, но там дрова проприентарные.

    Ну так покупайте железо поддерживаемое openwrt и проблем не будет. Там список немеряного размера. Да, эти господа мутные блобы не лю категорически, если что.

     
  • 1.3, alexey (??), 14:14, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Это опять тот чувак с прикольными картинками в отчете?
    Жаль, что новый отчет не нарисовал.
     
     
  • 2.11, Аноним (-), 14:51, 22/04/2014 [^] [ответить]    [к модератору]  
  • +16 +/
    Нарисовал: http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
     
     
  • 3.38, maxis11 (ok), 18:47, 22/04/2014 [^] [ответить]    [к модератору]  
  • –3 +/
    >If payload == md5(''DGN1000'').

    И тут меня накрыло XD

     
  • 1.7, Alen (??), 14:25, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +6 +/
    Ну вот, теперь опять бедным производителям придется бэкдоры переписывать :)
     
     
  • 2.22, Аноним (-), 15:46, 22/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ну вот, теперь опять бедным производителям придется бэкдоры переписывать :)

    Ничего, платить-то за это переписывание будут покупатели.

     
     
  • 3.23, клоун Стаканчик (?), 15:50, 22/04/2014 [^] [ответить]     [к модератору]  
  • –6 +/
    Платить за это будет компания-производитель И если она столь настойчиво хочет в... весь текст скрыт [показать]
     
     
  • 4.63, Аноним (-), 07:46, 23/04/2014 [^] [ответить]    [к модератору]  
  • +/
    не, это АНБ требует. а если быть точным DHS. который через FCC - насаждает. а используется - ВСЕМИ - от DIA и CIA до DoC, DoS и крупных корпораций.
     
  • 4.72, Аноним (-), 12:02, 23/04/2014 [^] [ответить]     [к модератору]  
  • +/
    За счет повышения цены для конечных пользователей, естественно Это потребность ... весь текст скрыт [показать]
     
     
  • 5.78, Anonym2 (?), 01:04, 24/04/2014 [^] [ответить]     [к модератору]  
  • +/
    За счёт снижения цен на устройства как ни странно В том числе из-за рекламы пре... весь текст скрыт [показать]
     
  • 1.31, Ivan_83 (?), 16:38, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Это ж капец как производительность должно просаживать такое прослушивание всех пакетов.
     
     
  • 2.32, клоун Стаканчик (?), 16:52, 22/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Пакеты с типом 0x8888 приходят нечасто.
     
     
  • 3.86, Аноним (-), 12:59, 25/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Пакеты с типом 0x8888 приходят нечасто.

    Но пока не сравнишь - не узнаешь что 0x8888.

     
  • 2.33, ABATAPA (ok), 16:53, 22/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    Отнюдь. man fwknock ; man knockd
     
  • 2.34, Мегазаычы (?), 16:54, 22/04/2014 [^] [ответить]    [к модератору]  
  • +2 +/
    именно поэтому парсятся не все пакеты, а только с определённым ethernet-типом.

    статью не понимай
    @
    сразу комментяй

     
     
  • 3.55, Ivan_83 (?), 22:24, 22/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Чтобы это попало в ядро и потом с сокет, нужно чтобы пакет не угодил в аппаратны... весь текст скрыт [показать]
     
     
  • 4.58, axe (??), 02:40, 23/04/2014 [^] [ответить]     [к модератору]  
  • +/
    матчинг по типу пакетов реализован в железе Всяческие ACL работают же, в том чи... весь текст скрыт [показать]
     
     
  • 5.64, Аноним (-), 07:47, 23/04/2014 [^] [ответить]     [к модератору]  
  • +/
    в железе реализованное это - можно было увидеть в продукта, лет 12 назад, само... весь текст скрыт [показать]
     
     
  • 6.84, axe2 (ok), 01:48, 25/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Хм, вы имеете в виду, что внутри ASIC может работать софт ... весь текст скрыт [показать]
     
  • 5.75, Ivan_83 (?), 16:07, 23/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Ничё не мешает, только 1 не всякое железо это умеет 2 нужно ещё суметь заюзат... весь текст скрыт [показать]
     
  • 2.41, Аноним (-), 18:53, 22/04/2014 [^] [ответить]     [к модератору]  
  • +/
    стелстнетов - вагон к счастью - не все юзают raw-траффик с лютым зашумлением и... весь текст скрыт [показать]
     
     ....нить скрыта, показать (10)

  • 1.35, Аноним (-), 17:44, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Прошивки не нужны.

    Даёшь свободный загрузчик с полноценным дистрибутивом.

     
     
  • 2.42, Аноним (-), 18:53, 22/04/2014 [^] [ответить]     [к модератору]  
  • +/
    с загрузчиком-то как раз и будут проблемы даже у OpenWRT бо ряд платформ - чуд... весь текст скрыт [показать]
     
     
  • 3.88, Аноним (-), 13:01, 25/04/2014 [^] [ответить]     [к модератору]  
  • +/
    А зачем грызть кактус Вон народ например u-boot для атеросов адски допилил, вот... весь текст скрыт [показать]
     
  • 3.97, Аноним (-), 13:01, 27/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > с загрузчиком-то как раз и будут проблемы

    На помойку такие девайсы. Производителя в блэклист.

     
  • 2.87, Аноним (-), 13:00, 25/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Даёшь свободный загрузчик с полноценным дистрибутивом.

    U-boot + openwrt. Enjoy! Да-да, все можно пересобрать из сорцов. И железо на котором все это работает есть. Атеросы те же.

     
     
  • 3.98, Аноним (-), 13:03, 27/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > U-boot + Debian. Enjoy!

    Пофикшено.

     
  • 1.45, Аноним (-), 19:36, 22/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +1 +/
    в целом - описан стандартный способ реализации все трех CALEA и вот ПОЧЕМУ - фе... весь текст скрыт [показать]
     
     
  • 2.46, Аноним (-), 19:43, 22/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    и Lawful Intercept извне USA - перманентно превращается в Illegal Intelligence Gathering and Sabotage.
     
  • 1.48, Alex (??), 20:08, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Как хорошо читать такие новости, когда сам пропускаешь их через pfSense на полноценном десктопе собственной сборки!
     
     
  • 2.51, Аноним (-), 21:11, 22/04/2014 [^] [ответить]    [к модератору]  
  • +6 +/
    Верно; давно пора отказаться от шайтан-коробок в пользу олдскульных самосборных роутеров на *BSD и Pentium II.
     
     
  • 3.61, upyx (??), 07:16, 23/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > Верно; давно пора отказаться от шайтан-коробок в пользу олдскульных самосборных роутеров
    > на *BSD и Pentium II.

    Втыкая в них новые "шайтан-сетевухи"? :-)

     
  • 3.89, Аноним (-), 13:02, 25/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > на *BSD и Pentium II.

    Попутно вычищая бэкдоры из IPSec-ов и SMM режима i386.

     
  • 2.65, Аноним (-), 07:50, 23/04/2014 [^] [ответить]     [к модератору]  
  • +/
    ага, елозящем на проце с SMM,а то и с VT-d и TCN Линус, внезапно - тоже не в ки... весь текст скрыт [показать]
     
     
  • 3.66, Аноним (-), 07:50, 23/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    надо на ROSA перелезать похоже ... весь текст скрыт [показать]
     
     
  • 4.80, arisu (ok), 12:49, 24/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    > надо на ROSA перелезать. похоже ;)

    ага. в рамках поддержки отечественного ФСБ, а не буржуйского АНБ.

     
  • 2.74, tonys (??), 15:46, 23/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Ты уже изучил BIOS своего компа на предмет закладок В 64 Mb можно прошить полно... весь текст скрыт [показать]
     
     
  • 3.96, Alex (??), 18:41, 25/04/2014 [^] [ответить]    [к модератору]  
  • +/
    А что, BIOS'ы с backdoor'ами тоже бывают? И случаи реальные есть? И прям ставишь систему на комп с таким BIOS, и она работает в виртуальной среде, а компьютер превращается в троян/keylogger?
     
     
  • 4.99, pavel (??), 10:52, 28/04/2014 [^] [ответить]    [к модератору]  
  • +/
    https://www.pgpru.com/forum/prakticheskajabezopasnostj/chegostoitichegonestoit
     
  • 4.100, Andrey Mitrofanov (?), 15:37, 28/04/2014 [^] [ответить]     [к модератору]  
  • +/
    https www schneier com blog archives 2014 02 swap_nsa_exploi html Зачем сразу ... весь текст скрыт [показать]
     
  • 2.76, hummermania (ok), 16:26, 23/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    Всегда выступал за роутеры на базе обычных компов, но контрагруементов много - и... весь текст скрыт [показать]
     
     
  • 3.77, Аноним (-), 20:26, 23/04/2014 [^] [ответить]     [к модератору]  
  • –1 +/
    купите nITX или pITX борду с 2х или 4х ядерным процом с 10W-25W TDP и будет счас... весь текст скрыт [показать]
     
     
  • 4.81, Аноним (-), 17:16, 24/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    В этих формфакторах в основном слабые и прожорливые системы via, и ни о каких pci-e речи нет. а цены выше обысных mITX
     
  • 4.90, Аноним (-), 13:04, 25/04/2014 [^] [ответить]     [к модератору]  
  • +/
    И получите черти-какой проприетарный BIOS в подарок А возможно еще и фирмвари E... весь текст скрыт [показать]
     
     ....нить скрыта, показать (14)

  • 1.50, anonymus (?), 20:29, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Либо списывайте сроки фишерам, кракерам и прочим бесчестным IT-шникам, либо сажайте за такое производителей железа и тех, кто их распространяет. А иначе будет у вас в государстве чучело вместо закона.
     
     
  • 2.82, Аноним (-), 17:17, 24/04/2014 [^] [ответить]    [к модератору]  
  • +/
    У нас чучело. Какие твои дальнейшие действия?
     
  • 1.52, Ydro (?), 21:28, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я вот не пойму: У нас в России сертификация электроники только на уровне "Током не бьёт", "Не воняет", "Мозг излучению не мешает", а то, что данные устройства работают в гос.учреждениях, предприятиях - как говорится заходи бери персональные данные, анализируй работу предприятий. Чего говорить про прошивки, если у Dr.Web трафик со скриптом обновления не шифруется. Не знаю как сейчас, раньше там точно Lua скрипты использовались. При этом он сертифицирован, сами посмотрите на их сайте кем. В общем, что можно с этим делать думаю понятно. У нас вообще хоть один телефон проходил проверку на уровне прошивок. Безопасность страны не только у границ проходит.
     
     
  • 2.83, Аноним (-), 17:20, 24/04/2014 [^] [ответить]    [к модератору]  
  • –1 +/
    Это вся безопасности страны не касается. "Безопасники" вообще работают без интернета. В критичных сферах используются российские девайсы.


     
     
  • 3.95, Аноним (-), 13:13, 25/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Оно и видно - даже во всяких бункерах прослеживается обычная такая винда на скри... весь текст скрыт [показать]
     
  • 1.53, Ydro (?), 21:38, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я извиняюсь, и одновременно просто вахаю от этого, выдержка: Dr.Web соответствует требованиям Федерального закона «О персональных данных» №152-ФЗ от 27.07.2006, предъявляемым как к антивирусным подсистемам локальной сети компании, так и к подсистемам защиты от несанкционированного доступа и может применяться в сетях, соответствующих максимально возможному уровню защищенности, включая сети, защищенные по классу К1.

     
  • 1.56, хм (?), 23:26, 22/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я так понимаю наличие бекдора обязательно для получения сертификатов соответствия.
    Коммуникационные устройства без бекдоров вообще можно распространять, или все что продается заряжено?
     
  • 1.57, Аноним (-), 01:21, 23/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    звездец. Забить деревянным молоточком досмерти их.
    в tp-link находили бекдоры?
     
     
  • 2.68, Аноним (-), 10:38, 23/04/2014 [^] [ответить]    [к модератору]  
  • +1 +/
    tp-link бэкдоры не нужны они дырявые чуть более чем полностью
     
  • 2.91, Аноним (-), 13:06, 25/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Вопрос неправильно поставлен В почти всех прошивках с фабрики или бэкдоры или п... весь текст скрыт [показать]
     
  • 1.59, Аноним (-), 05:15, 23/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    черный список где по бэкдорщине ?
    сайт
     
     
  • 2.92, Аноним (-), 13:06, 25/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > черный список где по бэкдорщине ?

    А это мысль. Hall of shame :).


     
  • 1.62, FSA (??), 07:29, 23/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > при получении пакета с типом 0x200 маршрутизатор отправляет в ответ свой MAC-адрес

    Вот тут не понял. Отправить пакет можно только с ближайшего маршрутизатора провайдера. Однако в этом случае MAC-адрес устройства обязан появиться в сети по ARP запросу, иначе просто никто с этим устройством не будет общаться.

     
     
  • 2.69, anonymous (??), 10:41, 23/04/2014 [^] [ответить]    [к модератору]  
  • +/
    Не понял о чём Вы, но в PPPoE, к примеру, ARP нет.
     
     
  • 3.71, Аноним (-), 11:05, 23/04/2014 [^] [ответить]    [к модератору]  
  • +/
    есть L2TP, есть стремительно набирающий популярность VPLS(и тругие TE и LDP -пауэрЭд, штуки)? есть наконец - целый вагон ad-hoc/mesh-сеток, в части которых - оно вполне себе, елозит с L2, начиная.
     
  • 2.70, alexey (??), 11:03, 23/04/2014 [^] [ответить]     [к модератору]  
  • +1 +/
    ARP - уровнем выше Здесь коммутация в пределах одного сегмента, IP адреса не ну... весь текст скрыт [показать]
     
  • 2.94, Аноним (-), 13:12, 25/04/2014 [^] [ответить]     [к модератору]  
  • +/
    Или прицепившись к вафле и кинув пакетик издали Комар носа не подточит - мужичо... весь текст скрыт [показать]
     
  • 1.67, Аноним (-), 07:58, 23/04/2014 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    опа мне пакеты по этим адрессам начали валиться на гейты раньше - за полтора ... весь текст скрыт [показать]
     
  • 1.73, PSV (?), 15:42, 23/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    ещё и лампочками поморгать можно :)
     
  • 1.79, arisu (ok), 12:44, 24/04/2014 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    и это тоже ошибка, ага. «мы радость доставить хотели вам!»
     
     
  • 2.93, Аноним (-), 13:07, 25/04/2014 [^] [ответить]    [к модератору]  
  • +/
    > и это тоже ошибка, ага. «мы радость доставить хотели вам!»

    Да, "нечаянно упал на мой кулак лицом, и так пять раз подряд".

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor