LinksysとNetgearのワイヤレスルーターの一部のモデルには、悪意のあるユーザーがこれらのデバイスの設定をメーカーの設定、デフォルトのルーター管理者ユーザー名とパスワードにリセットすることを可能にするバックドアがあります。このバックドアが発見され、世界に公開されました。
フランスのセキュリティ・システム・エンジニアである Eloi Vanderbeken 氏は、休暇中の顧客が使用する帯域幅を制限し、ルーターの管理パネルにアクセスするために選択したユーザー名とパスワードの複雑な組み合わせを検索することにしました。
このデバイスのハードウェアを調査することにより、Vanderbeken氏はTCP 32764ネットワークポートでリッスンしている未知のサービスを発見しました。このサービスは13種類のメッセージを受信し、そのうち2種類はコンフィギュレーション設定を見ることができ、1種類はルーターのデフォルトベンダー設定を復元します。
ヴァンダーベッケン氏が「Github」と呼ばれるアカウントで彼の発見を公開した後、世界中の他のハッカーが同じバックドアがないか他のルーターをチェックし始めました。
残念ながら、ハッカーは多くのバックドアを発見しました。このリストによると、影響を受けるデバイスには共通点があります。自社名でルーターを製造している同社は、LinksysやNetgearを含む多くの企業のルーターも製造しています。
Sercommは、3Com、Aruba、Belkinといったベンダーのルーターも製造しているため、これらのベンダーの製品にも欠陥のあるファームウェアが含まれている可能性があります。これらすべての会社がすぐにパッチを出すことを期待しましょう。
SANS ISC*** 技術オフィサーの Johannes Ullrich 氏は、バックドアが公開された結果、TCP ポート 32764 に対する調査が増えたと指摘しました。同氏によると、本日の情報公開後、このポートに対するスキャンはほとんどありませんでしたが、本日の情報公開後、3つのIPアドレスからこのポートに対するスキャンが多数発生したとのことです。スキャン数が最も多かったIPアドレスは80.82.78.9でした。ShodanHQの検索エンジンもこの2日間、このポートを積極的に調査しています。
さて、Ullrich氏によると、私はすべての人がポート32764/TCPをリッスンしているデバイスのために自分のネットワークをスキャンすることをお勧めします。Linksysのルーターを使用している場合は、そのパブリックIPアドレスのためにネットワークの外をスキャンすることができます。
