Routeurs : une porte dérobée restée entrouverte

Fin décembre, l’ingénieur Eloi Vanderbeken découvrait l’existence d’une porte dérobée, sur le port TCP 32764, au sein de certains routeurs signés notamment Cisco, Linksys ou encore Netgear. Une porte ouverte non seulement sur le réseau local mais également, pour certains modèles concernés, sur Internet. C’est le sous-traitant Sercomm qui serait à l’origine de la vulnérabilité, même si elle n’est pas présente dans tous ses produits. En tout, 24 modèles de routeurs seraient concernés.

Cisco s’est rapidement engagé à fermer la porte dérobée, dès la mi-janvier. Du côté de Netgear, il a fallu attendre la fin mars qu’arrivent les correctifs. Las, chez ce dernier, la porte serait encore entrouverte.

Eloi Vanderbeken s’est en effet penché sur la mise à jour proposée par Netgear pour son routeur DGN1000. L’exécutable associé avec la porte dérobée est encore présent. Il est simplement exécuté avec une option différente et n’écoute plus sur le port TCP 32764 mais sur un socket Unix. Et d’attendre de recevoir des paquets de données spécifiquement formatés, qu’ils lui soient destinés ou broadcastés. De quoi rouvrir la porte dérobée.

Pour l’ingénieur, il ne s’agit pas d’une erreur mais bien d’une action « délibérée ». De fait, il est ainsi possible d’administrer à distance les appareils concernés, depuis le réseau local, mais aussi depuis le réseau du fournisseur d’accès, à condition de pas être à plus d’un saut du routeur.

Cette nouvelle itération de la porte dérobée est moins facile à détecter que la précédente. Et Eloi Vanderbeken d’indiquer, dans un document PDF, comment procéder.