趨勢科技病毒實(shí)驗室警告,中國業(yè)者磊科旗下Netcore與Netis品牌路由器含有后門(mén),駭客可輕易登入,上傳或下載路由器檔案,或是修改DNS,對使用者帶來(lái)資安風(fēng)險。趨勢建議消費者:換了它吧!
CTI論壇(ctiforum)8月29日消息(記者 李文杰):趨勢病毒實(shí)驗室(TrendLab)發(fā)布警告,指中國業(yè)者「磊科」(Netcore)旗下的路由器產(chǎn)品含有后門(mén),駭客可上傳、下載路由器檔案,甚至進(jìn)行中間人攻擊(Man-in-the-middle attack)。磊科尚未針對此事回應。
根據趨勢的說(shuō)明,磊科Netcore旗下的路由器的后門(mén),可被駭客輕易的偵測利用以發(fā)動(dòng)攻擊。其產(chǎn)品在海外市場(chǎng)上以Netis品牌銷(xiāo)售,其中包括臺灣市場(chǎng)。
經(jīng)過(guò)分析,后門(mén)存在于53413埠上的開(kāi)放UDP埠,并可在WAN環(huán)境下存取,因此駭客在網(wǎng)際網(wǎng)絡(luò )就能利用該漏洞,盡管這個(gè)漏洞被寫(xiě)入韌體的密碼所保護,但所有Netcore/Netis的路由器都使用相同的密碼保護,使得密碼保護形同虛設。
經(jīng)由此后門(mén),駭客可任意上傳、下載、執行檔案,幾乎等于控制了這個(gè)路由器,也可修改路由器設定以進(jìn)行中間人攻擊。
趨勢還發(fā)現,其web-based控制臺所儲存的資料沒(méi)有任何加密,駭客可以輕易的下載含使用者帳號、密碼路由器的設定檔,所有的資料看光光。趨勢研判Netcore/Netis旗下的路由器都有后門(mén)存在。趨勢進(jìn)一步以 ZMap 掃描具有漏洞的路由器在全球的分布,發(fā)現有超過(guò)200萬(wàn)個(gè)IP位址的UDP埠向全世界洞開(kāi),這些路由器絕大多數位于中國,少數分布于南韓、臺灣、以色列及美國等地。
趨勢已向Netcore反映此問(wèn)題,不過(guò),迄今仍未獲得回應。記者也詢(xún)問(wèn)Netis的臺灣代理商,截稿前暫時(shí)未取得回應。趨勢指出,對消費者而言,欠缺資源來(lái)解決后門(mén),使用者也無(wú)法自行關(guān)閉后門(mén),目前看來(lái)唯一的解決方式可能就是更換設備。
趨勢科技副總經(jīng)理劉榮太表示,雖然磊科大多數的用戶(hù)在中國市場(chǎng),但其路由器產(chǎn)品在臺灣也有銷(xiāo)售,包括政府、學(xué)術(shù)單位。后門(mén)雖以密碼保護,但所有路由器都是同一組很簡(jiǎn)單的保護密碼,使得駭客容易利用后門(mén)下載、更新,從路由器截取封包或修改DNS,對使用者帶來(lái)相當大的資安風(fēng)險。
事實(shí)上「磊科」Netcore的Netis產(chǎn)品在臺灣不難買(mǎi)到,各大通路都有銷(xiāo)售外,記者實(shí)際走訪(fǎng)燦坤就發(fā)現,其商品整整陳列了一整排。另外要注意的是,臺灣的碩泰網(wǎng)通英文名稱(chēng)也叫 Netcore,隸屬于上奇集團的碩泰主要業(yè)務(wù)為機房及網(wǎng)絡(luò )工程服務(wù),及代理A10、Aruba及Juniper等公司的網(wǎng)通產(chǎn)品。
劉榮太表示,這些路由器后門(mén)并非后天造成,而是先天一開(kāi)始就存在,即便磊科在中國與360合作推出的路由器仍有后門(mén)存在。若為企業(yè)用戶(hù),可以入侵防護來(lái)加強對路由器的保護,但對消費者而言需通過(guò)特別針對磊科路由器的開(kāi)源資源解決,但這類(lèi)的資源相當有限,消費者可能難以處理。
路由器爆發(fā)后門(mén)的情事不僅發(fā)生在中國業(yè)者,去年就有安全研究人員揭露 D-Link多款機型存有后門(mén)漏洞,可讓駭客進(jìn)入管理介面設定路由器功能。今年初法國的安全系統工程師更發(fā)現,思科、Linksys與Netgear的無(wú)線(xiàn)路由器有后門(mén),這些路由器都是由臺灣的中磊電子(Sercomm)所制造。
