趋势科技病毒实验室警告,中国业者磊科旗下Netcore与Netis品牌路由器含有后门,骇客可轻易登入,上传或下载路由器档案,或是修改DNS,对使用者带来资安风险。趋势建议消费者:换了它吧!
CTI论坛(ctiforum)8月29日消息(记者 李文杰):趋势病毒实验室(TrendLab)发布警告,指中国业者「磊科」(Netcore)旗下的路由器产品含有后门,骇客可上传、下载路由器档案,甚至进行中间人攻击(Man-in-the-middle attack)。磊科尚未针对此事回应。
根据趋势的说明,磊科Netcore旗下的路由器的后门,可被骇客轻易的侦测利用以发动攻击。其产品在海外市场上以Netis品牌销售,其中包括台湾市场。
经过分析,后门存在于53413埠上的开放UDP埠,并可在WAN环境下存取,因此骇客在网际网络就能利用该漏洞,尽管这个漏洞被写入韧体的密码所保护,但所有Netcore/Netis的路由器都使用相同的密码保护,使得密码保护形同虚设。
经由此后门,骇客可任意上传、下载、执行档案,几乎等于控制了这个路由器,也可修改路由器设定以进行中间人攻击。
趋势还发现,其web-based控制台所储存的资料没有任何加密,骇客可以轻易的下载含使用者帐号、密码路由器的设定档,所有的资料看光光。趋势研判Netcore/Netis旗下的路由器都有后门存在。趋势进一步以 ZMap 扫描具有漏洞的路由器在全球的分布,发现有超过200万个IP位址的UDP埠向全世界洞开,这些路由器绝大多数位于中国,少数分布于南韩、台湾、以色列及美国等地。
趋势已向Netcore反映此问题,不过,迄今仍未获得回应。记者也询问Netis的台湾代理商,截稿前暂时未取得回应。趋势指出,对消费者而言,欠缺资源来解决后门,使用者也无法自行关闭后门,目前看来唯一的解决方式可能就是更换设备。
趋势科技副总经理刘荣太表示,虽然磊科大多数的用户在中国市场,但其路由器产品在台湾也有销售,包括政府、学术单位。后门虽以密码保护,但所有路由器都是同一组很简单的保护密码,使得骇客容易利用后门下载、更新,从路由器截取封包或修改DNS,对使用者带来相当大的资安风险。
事实上「磊科」Netcore的Netis产品在台湾不难买到,各大通路都有销售外,记者实际走访灿坤就发现,其商品整整陈列了一整排。另外要注意的是,台湾的硕泰网通英文名称也叫 Netcore,隶属于上奇集团的硕泰主要业务为机房及网络工程服务,及代理A10、Aruba及Juniper等公司的网通产品。
刘荣太表示,这些路由器后门并非后天造成,而是先天一开始就存在,即便磊科在中国与360合作推出的路由器仍有后门存在。若为企业用户,可以入侵防护来加强对路由器的保护,但对消费者而言需通过特别针对磊科路由器的开源资源解决,但这类的资源相当有限,消费者可能难以处理。
路由器爆发后门的情事不仅发生在中国业者,去年就有安全研究人员揭露 D-Link多款机型存有后门漏洞,可让骇客进入管理介面设定路由器功能。今年初法国的安全系统工程师更发现,思科、Linksys与Netgear的无线路由器有后门,这些路由器都是由台湾的中磊电子(Sercomm)所制造。
