ИТ-специалист Элои Вандербекен обнаружил наличие бэкдора в ряде роутеров/DSL-модемов, через который возможно сбросить конфигурацию устройства и получить доступ к административной контрольной панели. Атака уже подтверждена на нескольких моделях роутеров и DSL-устройств производства Linksys и Netgear. Также в сети существует эксплоит, позволяющий получить доступ к локальной WLAN-сети под управлением роутера или DSL-модема. Бэкдор требует, чтобы атакующий был в локальной сети, поэтому удаленную атаку на роутер через провайдерский шлюз провести не получится. В то же время, для проведения атаки у потенциального взломщика должно быть самое обычное подключение к сети с назначенным ему роутером локальным IP-адресом. Код эксплоита Вандербекен поместил на открытое хранилище исходников GitHub. В презентации, иллюстрирующей атаку, и также размещенной на GitHub, атака производится на примере устройств Linksys WAG 2000, которые достаточно популярны у пользователей DSL-сетей в Европе и США. В презентации он рассказывает, как можно получить доступ к роутеру и ограничить полосу пропускания трафика для всех остальных пользователей локальной сети. Изначально он отключил веб-консоль для управления роутером, а также не использовал (установленный им же) пароль для доступа к устройству. В процессе сканирования портов ИТ-специалист установил, что как устройства Linksys, так и устройства Netgear откликаются на сообщения, отправляемые на порт 32 764. В документации обоих брендов не говорится ни слова о данной особенности. Вандербекен загрузил с сайтов производителей копии прошивки роутеров и провел реверс-инжениринг бинарного кода, написанного под процессоры MIPS. В процессе манипуляций было установлено, что прошивки были собраны таким образом, чтобы отвечать на административные команды через порт 32 764 без пароля администратора. Далее ИТ-специалист написал shell-скрипт, который через последовательность команд на указанном порту сбрасывал установленные пользователем логины и пароли, восстанавливая их к заводским. Интернет-издание HackerNews после данной публикации провело собственное тестирование и выявило, что подобному багу также подвержены и устройства SerComm.
Исходники презентация и скрипта