Référence des ports
Port 32764 (TCP) – Porte dérobée routeur SerComm
Une véritable porte dérobée OEM sur les routeurs fabriqués par SerComm exposant l'exécution de commandes à distance et le vidage de configuration via le port 32764.
État par défaut
Pas un service légitime. Un 32764 en écoute sur un routeur domestique/SOHO signale la porte dérobée OEM SerComm et doit être fermé immédiatement.
Attaques courantes
- Exécution de commandes à distance via la porte dérobée routeur SerComm
- Vidage de la configuration du routeur et des identifiants
- Réinitialisation de l'appareil aux réglages d'usine sans authentification
- Balayage massif des routeurs SOHO à la recherche de la porte dérobée exposée
Durcissement
- Appliquer la mise à jour du firmware du fournisseur qui supprime la porte dérobée SerComm
- Ne jamais exposer la gestion du routeur ni le port 32764 au WAN/Internet
- Bloquer le port 32764 entrant sur le périmètre et le pare-feu de l'appareil
- Remplacer les routeurs en fin de vie qui ne seront jamais corrigés
Commande nmap
nmap -p32764 -sV --script banner <target>Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.
Qu'est-ce qui tourne sur le port 32764 ?
Le port 32764 n'est pas un service légitime — c'est l'écouteur d'une véritable porte dérobée OEM de routeur présente dans de nombreux routeurs domestiques et SOHO fabriqués par SerComm (vendus sous diverses marques). Des chercheurs l'ont révélée à l'époque du ver TheMoon. Un service sur le port TCP 32764 accepte des commandes non authentifiées, permettant à quiconque peut l'atteindre de vider la configuration, lire les identifiants, exécuter des commandes ou réinitialiser le routeur aux réglages d'usine.
Pourquoi c'est important pour la sécurité
Comme la porte dérobée ne requiert aucune authentification, un 32764 ouvert signifie le contrôle total à distance du routeur — la passerelle de tout le réseau situé derrière lui. Un attaquant peut récolter le mot de passe admin et les clés Wi-Fi, altérer le DNS pour rediriger le trafic, ou rendre l'appareil inutilisable. Si le port est joignable depuis le côté WAN, tout le réseau est trivialement compromis.
Comment il est attaqué
Attaquants et vers scannent massivement les routeurs SOHO à la recherche d'un 32764 ouvert et envoient des requêtes forgées pour exécuter des commandes ou vider la config. Le ver TheMoon a exploité des faiblesses de routeurs exposés pour se propager entre les appareils. Aucune chaîne d'exploit n'est nécessaire une fois la porte dérobée joignable — l'écouteur accepte directement les commandes.
Liste de durcissement
Appliquez la mise à jour du firmware du fournisseur qui supprime la porte dérobée SerComm. N'exposez jamais la gestion du routeur ni le port 32764 au WAN/Internet, et bloquez le port 32764 entrant sur le périmètre et le pare-feu de l'appareil. Remplacez les routeurs en fin de vie qui ne seront jamais corrigés. La commande nmap ci-dessus récupère la bannière sur les appareils que vous êtes autorisé à tester.
Ports liés
Questions fréquentes
- Qu'est-ce que la porte dérobée du port 32764 ?
- C'est une véritable porte dérobée OEM trouvée dans les routeurs fabriqués par SerComm. Un service en écoute sur le port TCP 32764 accepte des commandes non authentifiées pouvant vider la config, exécuter des commandes ou réinitialiser l'appareil.
- Comment corriger la porte dérobée 32764 ?
- Installez la mise à jour du firmware du fournisseur qui supprime la porte dérobée, n'exposez jamais le port 32764 ni la gestion du routeur à Internet, et remplacez les appareils en fin de vie qui ne recevront jamais de correctif.