Netgear e Lynksys backdoor (OT)

[Alessandro Baggi <alessandro.baggi@gmail.com>]

Salve ragazzi,

Scusate per l'ot, ma potrebbe interessare l'alert (spero possa servire a 
qualcuno). Stavo leggendo qualche notizia ed è uscito fuori un 
problemino riguardo a diversi router netgear e linksys. In sostanza 
hanno scoperto delle backdoor aperte sia su wan che lan.

Io sul mio netgear ho controllato che la porta incriminata (32764 tcp) 
sia realmente aperta, e cosi si è rivelato ma solo sulla lan. Dalla wan 
non risulta niente del genere.

Da una piccola applicazione installata su un firewall ho rilevato che:


 id  ipaddr          proto  sport dport tcpflag date       time

 164 dot.dot.dot.dot 1      58208 32764 S       2014-08-01 04:32:45
 174 dot.dot.dot.dot 1      44921 32764 S       2014-08-01 05:08:59

(scusate per aver omesso gli indirizzi)

e gia cominciano a sfruttare il tutto.
Nel mio caso, essendo solo in lan, farebbero poco (o almeno credo), ma 
per altri che hanno anche la porta aperta su internet potrebbero 
risentire di qualche problema, tipo riavvii o altro.

Anche con un solo telnet è uscito questo:

telnet 192.168.1.1 32764
Trying 192.168.1.1...
Connected to 192.168.1.1.
Escape character is '^]'.
prova
MMcSÿÿ
Connection closed by foreign host.

Ho controllato se lo stesso problema fosse un un access point netgear 
che ho, ma non risulta aperta la porta incriminata, le altre non le ho 
controllate.

Qualcun'altro in lista che ha netgear o linksys, ha riscontrato la 
presenza di tale backdoor?

Un saluto, Alessandro.