Se ha publicado un estudio del router WAG200G de la firma Linksys, perteneciente a Cisco, en el que entre otros datos, se hace eco de la existencia de una conexión de servicio no documentada que permitiría acceder de manera remota y sin autenticar, mediante el puerto TCP 32764.
Mediante la colaboración de diferentes usuarios, se ha confirmado la existencia de este acceso no documentado en los siguientes modelos y firmas:
- LINKSYS: WAG200G, WAG320N, WAG54G2, WAG120N, WAG160N
- NETGEAR: DM111Pv2, DGN1000, DG834G, DGN3500, DGND3300
- CISCO: WAP4410N
Y tras los diferentes modelos analizados, posiblemente esta “puerta trasera” esté relacionada con la firma SerComm, que elabora routers y módems para diferentes fabricantes como Linksys, por lo que la lista de afectados podría ser mayor:
- Lista de routers basados en SerComm http://bit.ly/1dWYqUH
Todo indica que una cuenta de administración, utilizada seguramente durante el proceso de desarrollo del firmware, no ha sido convenientemente deshabilitada tras el paso a producción de los routers, llegando activa a los usuarios.
Dependiendo de cada modelo, éste será accesible fuera de la red local o WLAN a través de Internet, por lo que se recomienda tomar las medidas oportunas para proteger el acceso, ya que según apunta ISC, los escaneos de puertos están en aumento durante estos días.
Más información:
Una al día (04-01-2014) http://unaaldia.hispasec.com/2014/01/acceso-remoto-no-documentado-en-routers.html
Fuente: Hispaset
