Mysteriöse Backdoor in diversen Router-Modellen


  • heise.de

    Team: Goliath³


    DREAMbox Forever

  • Diese Backdoor gibt es bei den fritzboxen auch. Damit können die Provider den Zustand der
    Box auslesen. Habe das selber schon am Telefon erlebt, daß der Typ vom Service wusste wie
    viele CEC Fehler ich gerade habe.

  • Das ist nichts Spezielles. Protokolle zum Auslesen solcher Daten sind sogar standardisiert. Zum Beispiel in Standards wie TR-069, TR-126, ...

    Im Einsatz: DM900UHD | DM7080HD | NAS | 13°+19,2° | DVB-C

  • Quote

    Original von netman
    Diese Backdoor gibt es bei den fritzboxen auch. Damit können die Provider den Zustand der
    Box auslesen. Habe das selber schon am Telefon erlebt, daß der Typ vom Service wusste wie
    viele CEC Fehler ich gerade habe.


    daher mach ich auf jede meiner Fritzboxen mein eigenes (Freetz)Image drauf. Da läßt sich dieser Service bequem entfernen :tongue:

    Team: Goliath³


    DREAMbox Forever

  • Quote

    Originally posted by netman
    Habe das selber schon am Telefon erlebt, daß der Typ vom Service wusste wie
    viele CEC Fehler ich gerade habe.


    Dafür braucht es keine Backdoor, diese Statistik (US/DS Pegel, SNR und Fehlerraten der Error Correction Layer) tauschen beide Seiten einer DSL-Verbindung miteinander aus. Der kriegt die vom DSLAM, und Du kriegst die auch von Deinem Modem (sofern es dafür ein Managementinterface gibt). Du erfährst auch, welcher DSL-Chipsatz im DSLAM steckt, ohne dass der 'ne Backdoor hat ;)


    Anyway, wer - der noch bei Trost ist - fährt auf Netgear oder Linksys die Vendor-Bugware?


    An"nix zu sehn hier, gehen Sie weiter"dre.

  • Update:


    After his post, other hackers around the world did further research, that shows that these devices are made by Sercomm, meaning that Cisco, Watchguard, Belkin and various others may be affected as well. The Complete List of vulnerable devices is available at his GitHub post i.e. Linksys WAG200G, Netgear DM111Pv2, Linksys WAG320N, Linksys WAG54G2, DGN1000 Netgear N150 and many more. The Python based exploit script can be downloaded from here.


    Backdoor LISTENING ON THE INTERNET confirmed in :
    [php]
    Netgear DG834B V5.01.14 (

    )
    DG834 V5.01.09 (https://github.com/elvanderb/TCP-32764/issues/44)
    WAP4410N-E V02 2.0.1.0, 2.0.3.3, 2.0.4.2, 2.0.6.1 (https://github.com/elvanderb/TCP-32764/issues/44)
    Netgear DGN2000 1.1.1, 1.1.11.0, 1.3.10.0, 1.3.11.0, 1.3.12.0 (https://github.com/elvanderb/TCP-32764/issues/44)
    Cisco WAP4410N-E V02 2.0.1.0 V02 2,0,2,1 V02 2.0.3.3 V02 2.0.4.2 V02 2.0.5.3 V02 2.0.6.1 (https://github.com/elvanderb/TCP-32764/issues/44)


    Backdoor confirmed in:


    Linksys WAG200G
    Netgear DM111Pv2 (

    )
    Linksys WAG320N (http://zaufanatrzeciastrona.pl…-prawdopodobnie-netgeara/)
    Linksys WAG54G2 (
    )
    DGN1000[B] Netgear N150 (https://github.com/elvanderb/TCP-32764/issues/3)
    NETGEAR DGN1000 (don't know if there is a difference with the others N150 ones... https://github.com/elvanderb/TCP-32764/issues/27)
    Netgear DG834G V2 and V3 firmware 4.01.40 and v3.01.32 (thanks Burn2 Dev)
    Diamond DSL642WLG / SerComm IP806Gx v2 TI (https://news.ycombinator.com/item?id=6998682)
    Linksys WAG120N (
    )
    Cisco WAP4410N (https://github.com/elvanderb/T…/11#issuecomment-31492435)
    Linksys WAG160n (
    )
    LevelOne WBR3460B (http://www.securityfocus.com/a…/101/507219/30/0/threaded)
    Netgear DGN3500 (https://github.com/elvanderb/TCP-32764/issues/13)
    NetGear DG834 v3 (thanks jd)
    Netgear DG834[GB, N, PN] version < 5 (https://github.com/elvanderb/TCP-32764/issues/19 https://github.com/elvanderb/TCP-32764/issues/25)
    Netgear DGN2000B (https://github.com/elvanderb/TCP-32764/issues/26)
    Linksys WRVS4400N (Firmware Version:V2.0.2.1) (https://github.com/elvanderb/TCP-32764/issues/29)
    Lynksys WRT300N fw 2.00.17 (https://github.com/elvanderb/TCP-32764/issues/34)
    NETGEAR JNR3210 (https://github.com/elvanderb/TCP-32764/issues/37)
    Cisco WRVS4400N (https://github.com/elvanderb/TCP-32764/issues/36)
    Linksys WRT350N v2 fw 2.00.19 (https://github.com/elvanderb/TCP-32764/issues/39)


    Backdoor may be present in:


    Netgear DG934 probability: 99.99%
    Netgear WPNT834 (http://forum1.netgear.com/showthread.php?p=270354)
    Netgear WG602, WGR614 (v3 doesn't work, maybe others...), DGN2000 (http://zaufanatrzeciastrona.pl…-prawdopodobnie-netgeara/)
    Linksys WAG160N (http://zaufanatrzeciastrona.pl…-prawdopodobnie-netgeara/)
    all SerComm manufactured devices (https://news.ycombinator.com/item?id=6998258)


    Backdoor is not working in:


    Netgear WGR614v7 (thanks "Martin from germany" [your e-mail doesn't work])
    Netgear WNDR3700 (

    )
    Netgear CG3100 (https://github.com/elvanderb/TCP-32764/issues/6)
    Netgear WGR614v9 (https://github.com/elvanderb/TCP-32764/issues/7)
    Linksys WRT54GS v1.52.8 build 001 (thanks Helmut Tessarek)
    Linksys WRT54GL(v1.1) Firmware v4.30.16
    Netgear WGR614v3 (https://github.com/elvanderb/TCP-32764/issues/8)
    Netgear WNDR4500 (
    )
    Netgear WNDR4000 (https://github.com/elvanderb/TCP-32764/issues/10)
    Netgear R7000 (
    )
    Netgear R6300 (https://github.com/elvanderb/TCP-32764/issues/15)
    Netgear WN2500RP (https://github.com/elvanderb/TCP-32764/issues/15)
    Linksys E3000 fwv 1.0.04 (https://github.com/elvanderb/TCP-32764/issues/16)
    Netgear VMDG480 (aka. VirginMedia SuperHub) swv 2.38.01 (https://github.com/elvanderb/TCP-32764/issues/16)
    Netgear VMDG485 (aka. VirginMedia SuperHub 2) swv1.01.26 (https://github.com/elvanderb/TCP-32764/issues/16)
    Cisco E2000 fwv 1.0.02 (https://github.com/elvanderb/TCP-32764/issues/17)
    Cisco Linksys E4200 V1 fwv 1.0.05 (https://github.com/elvanderb/TCP-32764/issues/18)
    NETGEAR CG3700EMR as provided by ComHem Sweden (https://github.com/elvanderb/TCP-32764/issues/20)
    Netgear RP614v[4,2] V1.0.8_02.02 (https://github.com/elvanderb/TCP-32764/issues/22 https://github.com/elvanderb/TCP-32764/issues/24)
    Netgear DG834G v5 (manufactured by Foxconn as opposed to the previous versions, nice finding anthologist https://github.com/elvanderb/TCP-32764/issues/28)
    NETGEAR WNR3500Lv2
    WRT320N (https://github.com/elvanderb/TCP-32764/issues/31)
    Netgear DGND3700 (https://github.com/elvanderb/TCP-32764/issues/33)
    Linksys WRT160Nv2 (https://github.com/elvanderb/TCP-32764/issues/43)
    Netgear WNR2000v3 (https://github.com/elvanderb/TCP-32764/issues/43)
    Netgear DGN2200Bv3 (V1.1.00.23_1.00.23) (https://github.com/elvanderb/TCP-32764/issues/41)
    Cisco Linksys X2000 (https://github.com/elvanderb/TCP-32764/issues/40)
    D-LINK Router DIR-600


    Some clarifications: I didn't want to lose my time in writing a full report, it's a very simple backdoor that really doesn't deserve more than some crappy slides. Moreover, my English is quite bad


    I had a lot of fun in writing / drawing those slides, all the necessary informations are in them, if people don't understand them or find them "too full of meme" then - well - it's too bad for them :) [/php]

    Team: Goliath³


    DREAMbox Forever

  • die frage ist auch noch bei welchen der devices das am WAN port existiert.


    auf der lan seite gibt es mit den einstellungen welche die meisten drauf haben eh zig einbruchsmöglichkeiten wenn man im lan/wlan ist.


    zu fritzbox:
    tr69 kann man da, wenn der provider es nicht gesperrt hat, über das mgmt interface abschalten.


    tr69 funktioniert auch technisch etwas anders und hat mit obigem port nichts zu tun.


    zu den dd-wrt kommentaren:
    auch dd-wrt hatte seine sicherheitslücken die LANGE nicht gefixt wurden :-)
    und wer weiss ob die nicht auch betroffen sind. die werden oft nur nicht getestet *g*

  • na meine Frage wäre dahingehend:
    Wie sieht es denn mit der Sicherheit vom einschlägig bekannten Distributor "Media Markt" für AVM Router aus?


    Gruß