Netgear: Router-Backdoor versteckt statt beseitigt

22. April 2014, 16:44
26 Postings

"Hintertür" nach Update nun nicht mehr übers Internet angreifbar, aber immer noch vorhanden

Eine seltsame Entdeckung hat der Sicherheitsforscher Eloi Vanderbeken bei der jüngsten Firmware des DGN1000-Routers von Netgear gemacht, die seit kurzem verfügbar ist. Eine im Januar entdeckte Hintertür wurde mit diesem offenbar nicht geschlossen, sondern nur versteckt.

"scfgmgr" immer noch vorhanden

Wie Heise berichtet konnte Vanderbeken herausfinden, dass der problematische Dienst "scfgmgr" nach wie vor existiert. Allerdings wartet er nicht mehr am Port 32764 auf Pakete, sondern wird nun von einem anderen Dienst namens "ft_tool" aktiviert.

Dieses wird tätig, sobald Datenpakete mit bestimmten Eigenschaften durchgeschleust werden. Erfüllen diese einen festgelegten EtherType und Payload mit, wird "scfgmgr in Betrieb genommen. Die Zugriffsmöglichkeit über das Web wurde allerdings eliminiert, der Versand entsprechender Pakete ist nur per LAN oder providerseitig via PPPoE möglich.

Funktion unklar

Nicht klar ist nach wie vor, welchen Zweck dieser Dienst erfüllt. Weder Netgear noch andere Unternehmen, bei welchen er bislang entdeckt wurde, haben hierzu bislang ausreichende Erklärungen geliefert. (red, derStandard.at, 22.04.2014)

Share if you care.