zurück zum Artikel

Netgear-Update: Router-Backdoor nur versteckt?

Das kürzlich veröffentlichte Update für den Netgear-Router DGN1000 soll die mysteriöse Backdoor nicht wie bisher angenommen entfernen, sondern sie lediglich verstecken. Das spräche für eine gewollte Funktion statt für ein Versehen.

Netgear soll den nach wie vor mysteriösen Backdoor-Dienst [1] bei seinem Router DGN1000 nicht entfernt [2], sondern lediglich besser versteckt haben. Eine Analyse [3] (PDF) des Firmware-Updates durch den Reverse-Engineer Eloi Vanderbeken will belegen, dass der Dienst nach wie vor existiert, allerdings nicht mehr unmittelbar auf Port 32764 lauscht.

Eloi Vanderbeken, Synacktiv

Trifft ein speziell präpariertes Ethernetpaket ein, startet der Router den Backdoor-Dienst.

(Bild: Eloi Vanderbeken, Synacktiv)

Demnach hat Netgear dem betroffenen Dienst scfgmgr einen Prozess namens ft_tool vorgeschaltet, der auf Ethernet-Pakete wartet, die ganz bestimmte Eigenschaften besitzen. Als EtherType muss 0x8888 angegeben sein, die Payload muss "45d1bb339b07a6618b2114dbc0d7783e" entsprechen – so lautet der MD5-Hash des Modellnamens DGN1000. Wenn ein entsprechendes Paket eintrifft, startet der Backdoor-Prozess: /usr/bin/scfgmgr f- Vanderbeken bietet ein passendes Proof-of-Concept [4] an.

Der vorgeschaltete Prozess sorgt zumindest dafür, dass die Router nicht länger über das Internet angreifbar sind, wenn sie auf Port 32764 reagieren. Entsprechend präparierte Ethernet-Pakete können nämlich nur LAN-Teilnehmer oder die PPPoE-Gegenstelle (also der Provider) an den Router schicken.

Sollten die Ergebnisse der Firmware-Analyse korrekt sein, dürfte es sich bei dem Backdoor-Dienst nicht um ein Versehen handeln, sondern eine gewollte Funktion. Das ist insbesondere in Anbetracht der Tatsache mysteriös, dass sich Netgear bislang nicht zu dem Zweck des Dienstes geäußert hat.

Auch die anderen Netzwerkausrüster, die Geräte mit demselben Backdoor-Dienst ausgeliefert haben, äußerten sich bislang nicht zufriedenstellend zu den Hintergründen. heise Security hat Netgear am Dienstag um eine Stellungnahme gebeten. Eine Antwort steht noch aus. (rei [5])


URL dieses Artikels:
http://www.heise.de/-2173996

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Mysterioese-Router-Backdoor-Viele-tausend-Router-in-Deutschland-haben-eine-Hintertuer-jetzt-testen-2080913.html
[2] https://www.heise.de/meldung/Netgear-schliesst-Hintertuer-in-Modemrouter-DGN1000-2165017.html
[3] http://www.synacktiv.com/ressources/TCP32764_backdoor_again.pdf
[4] http://synacktiv.com/ressources/ethercomm.c
[5] mailto:rei@heise.de