linksys2Een Franse beveiligingsonderzoeker heeft een backdoor in verschillende routers van Linksys en Netgear ontdekt, waardoor kwaadwillenden zonder inloggegevens toegang tot het beheerderspaneel kunnen krijgen. De backdoor werd door 'reverse engineer' Eloi Vanderbeken ontdekt.

Het probleem ontstaat doordat bij sommige routers TCP-poort 32764 open staat. Door het sturen van een specifiek request naar deze poort kan een aanvaller direct toegang tot het beheerderspaneel krijgen. Daarbij maakt het niet uit of de eigenaar van de router een wachtwoord heeft ingesteld. Via het beheerderspaneel kan een aanvaller allerlei zaken aanpassen, zoals de servers waar het verkeer van de gebruiker langs loopt.

Vanderbeken stelt dat de backdoor in de Linksys WAG200G, Netgear DM111Pv2 en Linksys WAG320N aanwezig is. Mogelijk zouden ook NetGear DG934, DG834, DG834G, WPNT834, WG602, WGR614, DGN2000, WAG120N, WAG160N en WRVS4400N kwetsbaar zijn. Wat gebruikers kunnen doen om zich te beschermen laat de onderzoeker niet weten.

Bron: Security.nl

Update 6-1-2014:

Met behulp van een Python script kan de explot worden uitgevoerd. Deze kan op Github worden gedownload.

Om deze aanval uit te voeren, moet de aanvaller onderdeel van het netwerk zijn. Met een Shodan scan zijn er meer dan 2000 kwetsbare routers beschikbaar op het internet Search-1 & Search-2.


Update 11-1-2014:
Cisco heeft een waarschuwing afgegeven voor een backdoor in twee type routers en een accesspoint.  De 'ongedocumenteerde testinterface', zoals Cisco het noemt, bevindt zich in de WRVS4400N Wireless-N en de RVS4000 4-port Gigabit Security Routers en het WAP4410N Wireless-N Access Point.