Netgear e Lynksys backdoor (OT)
Salve ragazzi,
Scusate per l'ot, ma potrebbe interessare l'alert (spero possa servire a
qualcuno). Stavo leggendo qualche notizia ed è uscito fuori un
problemino riguardo a diversi router netgear e linksys. In sostanza
hanno scoperto delle backdoor aperte sia su wan che lan.
Io sul mio netgear ho controllato che la porta incriminata (32764 tcp)
sia realmente aperta, e cosi si è rivelato ma solo sulla lan. Dalla wan
non risulta niente del genere.
Da una piccola applicazione installata su un firewall ho rilevato che:
id ipaddr proto sport dport tcpflag date time
164 dot.dot.dot.dot 1 58208 32764 S 2014-08-01 04:32:45
174 dot.dot.dot.dot 1 44921 32764 S 2014-08-01 05:08:59
(scusate per aver omesso gli indirizzi)
e gia cominciano a sfruttare il tutto.
Nel mio caso, essendo solo in lan, farebbero poco (o almeno credo), ma
per altri che hanno anche la porta aperta su internet potrebbero
risentire di qualche problema, tipo riavvii o altro.
Anche con un solo telnet è uscito questo:
telnet 192.168.1.1 32764
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
prova
MMcSÿÿ
Connection closed by foreign host.
Ho controllato se lo stesso problema fosse un un access point netgear
che ho, ma non risulta aperta la porta incriminata, le altre non le ho
controllate.
Qualcun'altro in lista che ha netgear o linksys, ha riscontrato la
presenza di tale backdoor?
Un saluto, Alessandro.
Reply to: