趋势实验室:磊科路由器包含后门

(文章译自http://blog.trendmicro.com/trendlabs-security-intelligence/netis-routers-leave-wide-open-backdoor/)

磊科,路由器制造商,在中国的网络设备很流行,磊科系列产品广泛的存在一个可以被攻击者利用的后门.这些产品在中国以外也使用Netis这个牌子销售.这个后门使网络罪犯在这些路由器上运行任意代码,伪装这个漏洞为安全设备.

后门是什么?简单的说,一个开放的53413 udp端口,监听中.这个端口可以被从wan口一面访问.这意味着有问题的路由器如果有一个固定的IP地址,(比如所有的住宅和小企业用户),一个攻击者可以从互联网的任何地方访问这个后门.
磊科路由器后门 netstat状态netstat 状态,后门被高亮

这个后门被一个在固件内单独的,固定编码的密码'保护'.磊科/Netis路由器貌似都使用相同的密码.这点保护根本毫无作用,攻击者可以轻松的登陆路由器,使用者无法修改和停用这个后门.

几乎所有的磊科/Netis路由器都有这个漏洞,根据我们的检测结果.使用Zmap这个工具,去扫描包含漏洞的路由器,我们发现了大概两百万个IP地址开放了这个UDP端口.几乎所有这些路由器都在中国,小部分在其他国家,包括但不限于南韩,台湾,以色列和美国.

攻击者可以向包含漏洞的路由器发送何种指令呢?登陆进入后,攻击者可以上传下载和执行文件.这给了攻击者几乎对路由器的全部控制.举例来说,设置可以被修改为帮助发起中间人攻击.

这是另一个可以被轻易执行的攻击:这个包含用户路由器普通网页界面管理面板的用户名和密码的文件是明文保存的.这个文件可以被攻击者轻易下载,看下面图示:
磊科路由器明文存储的网页管理用户名和密码导出用户名和密码

我们都知道了包含漏洞的路由器的危害,但是这个漏洞危害是非常严重因为可以被轻易攻击.我们无法发现任何描述这个后门的文档,也不清楚这个后门的目的和作者.我们已经联络了制造商,Trend Micro还没有收到回复.

为了判断你的路由器是否有此漏洞,大家可以使用Online port scanner来进行扫描.能证明易受攻击的53413端口之路由器的结果大概如下:
扫描结果
UDP端口扫描

用户应该特别留意被红线标注的地方.

用户面对这个事故有几种补救方案.支持像dd-wrt或者Tomato这种开源固件的磊科路由器很少;只有一个型号的路由器支持开源固件.处置之外,唯一足够的替代方案就是换设备了.

编者:后期趋势实验室收到了Netis的固件升级,Netis只是简单的把此后门停用并没有彻底去除.参见趋势实验室博客.