Puerto TCP 32764 abierto en numerosos routers de Cisco ¿bug o backdoor?
Hace tiempo alguien se extrañó al ver que en su router Netgear estaba abierto el puerto TCP 32764... pero es ahora a principios de año cuando el francés Eloi Vanderbeken ha alertado a la Comunidad al advertir la presencia de un backdoor corriendo en este puerto en numerosos routers Netgear, Linksys y Cisco.
Después de un análisis de firmware, Vanderbeken descubrió numerosas vulnerabilidades como desbordamientos de memoria basados en pila o path traversal, llegando a conseguir el acceso y control total del dispositivo (shell) a través de este puerto sin ningún tipo de autenticación. Así mismo se podrían realizar denegaciones de servicio, pudiendo resetear la configuración de fábrica o la obtención de la configuración del sistema (routercfg.cfg).
En el repositorio GitHub de Vanderbeken podéis encontrar un listado de los modelos de routers vulnerables ya confirmados así como una descripción de la vulnerabilidad y la PoC correspondientes.
Ante eso, Cisco ha tenido que confirmar finalmente la existencia de esta puerta trasera indocumentada en varios de sus routers que podrían permitir a un atacante remoto "obtener acceso de root en un dispositivo afectado" por medio de lo que llaman "una interfaz de prueba indocumentada en el servicio TCP 32764".
"Un atacante podría aprovechar esta vulnerabilidad mediante el acceso al dispositivo afectado desde la interfaz de la LAN y ejecutar arbitrariamente comandos en el sistema operativo subyacente. Un exploit podría permitir al atacante acceder a las credenciales de usuario de la cuenta de administrador del dispositivo, y leer la configuración del dispositivo" afirmó la empresa.
¿Realmente se trata de un fallo y olvidaron eliminar un "interfaz de prueba" en numerosas versiones de firmware de NUMEROSOS dispositivos?Ni de coña Cuesta creerlo... así que parece tratarse de otro backdoor que nos regala el fabricante...
Fuentes:
Después de un análisis de firmware, Vanderbeken descubrió numerosas vulnerabilidades como desbordamientos de memoria basados en pila o path traversal, llegando a conseguir el acceso y control total del dispositivo (shell) a través de este puerto sin ningún tipo de autenticación. Así mismo se podrían realizar denegaciones de servicio, pudiendo resetear la configuración de fábrica o la obtención de la configuración del sistema (routercfg.cfg).
En el repositorio GitHub de Vanderbeken podéis encontrar un listado de los modelos de routers vulnerables ya confirmados así como una descripción de la vulnerabilidad y la PoC correspondientes.
Ante eso, Cisco ha tenido que confirmar finalmente la existencia de esta puerta trasera indocumentada en varios de sus routers que podrían permitir a un atacante remoto "obtener acceso de root en un dispositivo afectado" por medio de lo que llaman "una interfaz de prueba indocumentada en el servicio TCP 32764".
"Un atacante podría aprovechar esta vulnerabilidad mediante el acceso al dispositivo afectado desde la interfaz de la LAN y ejecutar arbitrariamente comandos en el sistema operativo subyacente. Un exploit podría permitir al atacante acceder a las credenciales de usuario de la cuenta de administrador del dispositivo, y leer la configuración del dispositivo" afirmó la empresa.
¿Realmente se trata de un fallo y olvidaron eliminar un "interfaz de prueba" en numerosas versiones de firmware de NUMEROSOS dispositivos?
Fuentes:
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!