28 noviembre 2012


Ya podemos añadir un nuevo caso de "puerta trasera escandalosa" a la recopilación que hicimos hace un año en este post "Las puertas traseras más escandalosas". Se ha publicado una vulnerabilidad en el US-CERT, con identificador VU#281284, en el que se hace referencia a un firmware para impresoras Samsung que contendría una cuenta de administración incluída directamente en el código, a modo de puerta trasera.

Neil Smith, del blog http://l8security.com/, publicaba esta misma madrugada detalles más concretos sobre dónde había detectado dicha vulnerabilidad.

Revisando el código de la clase NetworkManager, aparecen varias cadenas constantes inicializadas con el valor s!a@m#n$p%c, que pertenecería a una cuenta de administración SNMP y que permitiría a un usuario remoto el tomar el control total del dispositivo:


Por lo que comenta el autor, dicha cadena se ha encontrado también en firmwares que incluso corresponden con el 2004 como año de publicación.

Si bien Samsung ha retirado las páginas de soporte donde se incluyen los firmwares, en l8security se enlace una página de Dell en la que siguen pudiéndose descargar los firmwares de Samsung para su impresora Dell 2335DN.

Curiosamente, según el informe del US-CERT acerca de esta vulnerabilidad, aún desactivando el SNMP desde la utilidad de impresión, esta community de lectura-escritura seguiría activa pudiéndose utilizar para gestionar el dispositivo.

Mediante este SNMP, sería posible realizar cambios en la configuración del dispositivo, acceder a información sensible (como credenciales), así como ejecución de comandos.

Al parecer, Samsung ha anunciado que sacará una herramienta para solventar esta vulnerabilidad y que los firmwares publicados a partir del 31 de Octubre de 2012 no se ven afectados ni incluyen esta cuenta.