Yazılar

Linksys, Netgear, Cisco routerlarda ikinci kez gizli arka kapı bulundu

linksys-netgear-cisco-routerlarda-ikinci-kez-gizli-arka-kapi-bulunduBu yıl başlarında TCP/32764 portunda çalışan bir arka kapının Linksys, Netgear, Cisco ve Diamond marka routerlarda bulunduğu ortaya çıkmıştı. TCP/32764 portuna bağlanan biri şifre girmeden admin haklarıyla shell erişimi kazanıyordu.

SerComm’un ürettiği bu cihazlarda bulunan arka kapı sonrasında SerComm arka kapıyı kapattığını açıklayarak yeni bir firmware güncellemesi yayınladı. Fakat bu yama niteliği taşıyan firmware güncellemesinin açığı kapatarak aynı arka kapıyı farklı bir şekilde cihaza eklediği ortaya çıktı.

Örnek olarak SerComm üretimi Netgear DGN1000 marka router üzerinde çalışan 1.1.0.55 versiyon firmware incelendiğinde dosya içerisinde “scfgmgr” adında bir dosya dikkat çekiyor. Bu dosya arka kapı özelliği içeriyor. Yine unpack sırasında dikkat çeken “ft_tool” adında bir dosya oluyor bu “-f” parametresi ile kullanıldığında ise arka kapıyı aktif hale getiriyor.

Bunun anlamı ise herhangi bir kişinin güncel bir firmware kullanmasına rağmen SerComm’un ürettiği Linksys, Netgear, Cisco, Diamond marka routerların 24 ayrı modelinde, TCP/32764 portunda çalışan shell erişimini aktif hale getirip cihaz üzerinde tam yönetim sağlayabilecek olması. Saydığımız markaların gerek kamu, gerekse özel sektörde çok sayıda yerde kullanılıyor olması ise riskin boyutlarını bir kademe yukarıya taşıyor.