5.000 routers van Linksys en Netgear zijn kwetsbaar door een backdoor die begin januari werd ontdekt, zo hebben onderzoekers ontdekt. De backdoor werd in januari door 'reverse engineer' Eloi Vanderbeken gevonden. Het probleem ontstaat doordat bij sommige routers TCP-poort 32764 open staat.

Door het sturen van een specifiek request naar deze poort kan een aanvaller direct toegang tot het beheerderspaneel krijgen. Daarbij maakt het niet uit of de eigenaar van de router een wachtwoord heeft ingesteld. Het probleem is bij verschillende modellen van Linksys en Netgear aanwezig. Ook bij Cisco bleek het probleem te spelen. De backdoor werd bij een access point en twee security routers aangetroffen. Voor het access point heeft Cisco inmiddels een update uitgebracht.

Onderzoek

Onderzoekers Max Rogers en Jamin Becker wilden weten hoeveel routers die met het internet verbonden zijn daadwerkelijk risico door de backdoor lopen. De onderzoekers begonnen als eerste met een scan van Zmap op poort 32764. De scan, die 22 uur duurde, leverde 1,5 miljoen IP-adressen op waar poort 32764 open stond. Dat wilde nog niet zeggen dat de kwetsbare service van de router ook via deze poort benaderbaar was.

Vervolgens werden de 1,5 miljoen IP-adressen opnieuw gecontroleerd of de backdoor-service van de router via internet toegankelijk was. Tot grote verbazing van de onderzoekers bleek dit bij slechts 4998 routers het geval te zijn. De meeste kwetsbare routers bevinden zich in Groot-Brittannië, gevolgd door de VS, Italië en Zuid-Korea.

Het getal van 5000 kwetsbare routers komt overeen met de bevindingen van de zoekmachine Shodan. Daarmee werden in totaal 6346 kwetsbare apparaten ontdekt. Voor zover bekend hebben Linksys en Netgear nog geen updates uitgebracht. Op deze pagina is een overzicht van alle kwetsbare modellen te vinden, alsmede verschillende aanbevelingen om het probleem op te lossen.