趋势科技警告:中国 Netis路由器有后门
# 讯息来源:iThome
http://www.ithome.com.tw/news/90484
# 好读原文
[IMG]http://i.imgur.com/5ncVzKo.jpg
趋势科技病毒实验室警告,中国业者磊科旗下Netcore与Netis品牌路由器含有后门,
骇客可轻易登入,上传或下载路由器档案,或是修改DNS,对使用者带来资安风险。
趋势并建议消费者:换了它吧!
趋势病毒实验室(TrendLab)发布警告,指中国业者“磊科”(Netcore)旗下的路由
器产品含有后门,骇客可上传、下载路由器档案,甚至进行中间人攻击(Man-in-the-
middle attack)。磊科尚未针对此事回应。
根据趋势的说明,磊科Netcore旗下的路由器的后门,可被骇客轻易的侦测利用以发动攻击。
其产品在海外市场上以Netis品牌销售,其中包括台湾市场。
经过分析,后门存在于53413埠上的开放UDP埠,并可在WAN环境下存取,
因此骇客在互联网就能利用该漏洞,尽管这个漏洞被写入韧体的密码所保护,
但所有Netcore/Netis的路由器都使用相同的密码保护,使得密码保护形同虚设。
[IMG]http://i.imgur.com/HQXKi5l.png
经由此后门,骇客可任意上传、下载、执行档案,几乎等于控制了这个路由器,
也可修改路由器设定以进行中间人攻击。
趋势还发现,其web-based控制台所储存的资料没有任何加密,骇客可以轻易的下载含
使用者帐号、密码路由器的设定档,所有的资料看光光。趋势研判Netcore/Netis旗下
的路由器都有后门存在。趋势进一步以 ZMap 扫描具有漏洞的路由器在全球的分布,
发现有超过200万个IP位址的UDP埠向全世界洞开,这些路由器绝大多数位于中国,
少数分布于韩国、台湾、以色列及美国等地。
趋势已向Netcore反映此问题,不过,迄今仍未获得回应。
记者也询问Netis的台湾代理商,截稿前暂时未取得回应。
趋势指出,对消费者而言,欠缺资源来解决后门,使用者也无法自行关闭后门,
目前看来唯一的解决方式可能就是更换设备。
趋势科技副总经理刘荣太表示,虽然磊科大多数的用户在中国市场,
但其路由器产品在台湾也有销售,包括政府、学术单位。后门虽以密码保护,
但所有路由器都是同一组很简单的保护密码,使得骇客容易利用后门下载、更新,
从路由器截取封包或修改DNS,对使用者带来相当大的资安风险。
事实上“磊科”Netcore的Netis产品在台湾不难买到,各大通路都有销售外,
记者实际走访灿坤就发现,其商品整整陈列了一整排。另外要注意的是,
台湾的硕泰网通英文名称也叫 Netcore,隶属于上奇集团的硕泰主要业务为机房
及网络工程服务,及代理A10、Aruba及Juniper等公司的网通产品。
刘荣太表示,这些路由器后门并非后天造成,而是先天一开始就存在,
即便磊科在中国与360合作推出的路由器仍有后门存在。若为企业用户,
可以入侵防护来加强对路由器的保护,但对消费者而言需透过特别针对磊科路由器
的开源资源解决,但这类的资源相当有限,消费者可能难以处理。
路由器爆发后门的情事不仅发生在中国业者,去年就有安全研究人员揭露 D-Link
多款机型存有后门漏洞,可让骇客进入管理接口设定路由器功能。
今年初法国的安全系统工程师更发现,思科、Linksys与Netgear的无线路由器有后门,
这些路由器都是由台湾的中磊电子(Sercomm)所制造。
# 备注
黑产魅力