Een backdoor in een groot aantal routers van verschillende fabrikanten die vorig jaar werd ontdekt en gepatcht blijkt stiekem gewoon nog aanwezig te zijn. Dat ontdekte de Franse beveiligingsonderzoeker Eloi Vanderbeken, die de oorspronkelijke backdoor ook ontdekte.

Het ging om de zogeheten '32764 backdoor'. Het probleem ontstond doordat bij sommige routers TCP-poort 32764 open stond. Door het sturen van een specifiek request naar deze poort kon een aanvaller direct toegang tot het beheerderspaneel krijgen. Daarbij maakte het niet uit of de eigenaar van de router een wachtwoord had ingesteld. 24 routers van Cisco, Linksys, NetGear en Diamond bleken kwetsbaar te zijn.

In totaal werden op het internet 6.000 routers aangetroffen die direct via de backdoor konden worden aangevallen. Verschillende fabrikanten waarschuwden voor de backdoor en brachten ook patches uit. Daarmee zijn de problemen voor gebruikers nog niet voorbij, zo blijkt uit nieuw onderzoek van Vanderbeken. Door het sturen van een speciaal pakketje is het namelijk mogelijk om de backdoor te reactiveren.

Om het pakketje te versturen moet een aanvaller zich wel op het lokale netwerk bevinden. Het is echter ook mogelijk voor internetproviders die op één hop afstand van de router zitten om het pakketje te versturen. Volgens de Franse beveiligingsonderzoeker is de backdoor-optie opzettelijk door de fabrikanten aangebracht.

Vanderbeken ontdekte verder dat een aanvaller naast het verkrijgen van een rootshell op het apparaat ook de lampjes op de router kan laten knipperen. Voor zover bekend zijn er nog geen patches voor het nieuw ontdekte probleem beschikbaar. Vanderbeken demonstreerde zijn aanval op een gepatchte router van Netgear, maar zeer waarschijnlijk zijn ook de routers van de andere fabrikanten kwetsbaar.