Dziury te zostały wykryte pod koniec grudnia 2013 r. przez eksperta do sprawa bezpieczeństwa (Eloi Vanderbeken), między innymi w routerze Linksys WAG200G. Vanderbeken odkrył, że router świadczy na porcie 32785 nieudokumentowaną nigdzie usługę TCP, która pozwala włamywaczowi wysłać do urządzenia polecenie (nie uwierzytelniając się wcześniej) resetujące hasło administratora.

Po jakimś czasie okazało, że podobny backdoor znajduje się w szeregu innych urządzeniach sieciowych, produkowanych między innymi przez firmy Cisco, Netgear i Belkin. W niektórych urządzeniach dostęp do tej usługi można uzyskać tylko z lokalnej sieci, a w innych również z Internetu.

Zobacz również:

• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie
• Cisco i Microsoft transmitują dane z prędkością 800 Gb/s

Urządzenia Cisco, które zawierają tę dziurę, to: punkt dostępowy WAP4410N Wireless-N, WRVS4400N Wireless-N Gigabit Security Router i RVS4000 4-port Gigabit Security Router. Warto w tym momencie przypomnieć, że Cisco nie serwisuje już routerów Linksys, gdyż sprzedawała w zeszłym roku oddział produkujący sieciowe urządzenia konsumenckie (a więc również routery Linksys) firmie Belkin. Cisco informuje jednocześnie, że atakom wykorzystującym tę dziurę można zapobiec również w inny sposób (czyli nie aktualizując oprogramowania firmware), ale jest to dość skomplikowana procedura.

Organizacja SANS Internet Storm Center potwierdziła niedawno, że monitorując Internet odkryła próby komunikowania się z portem 32764, co może oznaczać iż włamywacze wiedzą o tej dziurze i próbują ją wykorzystać do swoich celów.