Netcore / Netis Routers RCE via UDP Port 53413 Backdoor

Er is een kritiek beveiligingslek ontdekt in Netcore en Netis routerfirmware die voor augustus 2014 is uitgebracht. Dit lek, aangeduid als CVE-2025-34117, maakt het mogelijk voor een ongeauthenticeerde aanvaller om op afstand speciaal vervaardigde UDP-pakketten te sturen en willekeurige opdrachten uit te voeren op het getroffen apparaat. De kwetsbaarheid wordt veroorzaakt door een ongekend achterdeurtje dat luistert op UDP-poort 53413.

Deze kwetsbaarheid stelt kwaadwillenden in staat om zonder toestemming toegang te krijgen tot netwerken, waardoor gevoelige informatie op straat kan komen te liggen.

Overzicht

Het probleem vindt zijn oorsprong in een hardcoded authenticatiemechanisme dat shell-opdrachten accepteert na authenticatie. Sommige routermodellen hebben een afwijkende implementatie van de echo opdracht, wat de exploitbaarheid kan beïnvloeden.

Aanbevelingen

• Controleer en update indien mogelijk de firmware van uw Netcore en Netis routers naar een versie die na augustus 2014 is uitgebracht.
• Overweeg alternatieve beveiligingsmaatregelen, zoals het blokkeren van UDP-poort 53413 op uw netwerk.
• Controleer regelmatig uw netwerklogs op verdachte activiteiten die kunnen wijzen op misbruik van deze kwetsbaarheid.

Bronnen

• Trend Micro Security Intelligence
• Seebug Vulnerability Database
• Metasploit Framework Exploit Module
• Shadowserver Vulnerability Scan Report
• Vulners Metasploit Details
• VulnCheck Advisory
• Exploit Database Entry

Vraag en Antwoord

Wat is CVE-2025-34117?

Dit is een unieke identifier voor de kwetsbaarheid die betrekking heeft op remote code execution in Netcore en Netis routers.

Welke systemen zijn kwetsbaar voor CVE-2025-34117?

Routers van Netcore en Netis met firmware uitgebracht vóór augustus 2014.

Bestaat er al een patch of beveiligingsupdate?

Het wordt aanbevolen om de routerfirmware te updaten naar een nieuwere versie en specifieke poorten op het netwerk te blokkeren om exploitatie te voorkomen.

Wat kan een aanvaller met deze kwetsbaarheid?

Een aanvaller kan willekeurige code uitvoeren op de getroffen apparaten, wat kan leiden tot volledige netwerkcompromissie.