家用路由器存在「後門」的新聞已非第一次聽聞,但原來規模卻比想像中更嚴重。據 Trend Micro 早前透露,一款中國品牌路由器在韌體被植入後門,掃描全球網路發現有 200 萬多個 IP 都受到威脅,而且幾乎全都在中國。但專家表示問題並非只出現在中國品牌,而且消費者應對有關問題時也可能無能為力。
威脅多達 200 萬個 IP
Trend Micro 旗下實驗室 TrendLab 早前發表報告,指出中國品牌磊科(Netcore / Netis)的路由器產品韌體被植入後門,黑客可任意上下載檔案,甚至進行 DDoS 跳板攻擊。TrendLab 更表示發現多達 200 萬個 IP 都有同樣的後門漏洞,只要是熟識手法的黑客在網絡上掃描,透過你的 IP 就可輕易進入你的電腦。
研究人員分析,該後門存在於 53413 埠上的開放 UDP 埠,最可怕是該後門可在 WAN 環境下存取,因此駭客透過互聯網就能利用遙距利用該漏洞。儘管這漏洞被寫入韌體的密碼所保護,但由於所有 Netcore / Netis 的路由器都使用相同密碼,因此所謂「密碼保護」實際上並不存在。
黑客進入該後門後,將可自行修改路由器的設定,從而輕易拿取前台的 Admin 密碼。除了可用作入侵渠道外,研究人員更發現黑客可透過在韌體植入編碼,使之成為 DDoS 攻擊的跳板,更會自動向黑客報告受害者在網路上的所有舉動。
TrendLab 利用 Zmap 掃描互聯網發現多達 200 萬個 IP 都有同樣的後門漏洞,其中大部分位於中國,也有部分位於南韓、台灣、以色列和美國。TrendLab 未有找到任何文件提及該漏洞,但就表示已告知有關廠商,但對方未有回應。
並非中國品牌獨有現象
家用路由器存在「後門」的新聞已非第一次聽聞,今次只是問題的冰山一角。就此我們訪問了 Trend Micro 香港區技術總監侯振業,了解一下實際情況。
侯振業表示,類似的新聞時有聽聞,而且出問題的也不限於中國品牌的路由器,就算是外國大廠如 Cisco、Linksys、Netgear 在今年初都有試過類似的問題,因此並非中國品牌獨有的。由於上述幾間大廠都是由同一間台灣的代工生產商 Sercomm 製造,因此即使不是相同品牌也同時出問題。
他不排除是否個別代工生產商故意植入,也有失誤的可能,但就今次事件來看,因為是韌體先天就存在,並非後天由黑客植入,因此問題也特別嚴重。他認為韌體始終也是軟體,有漏洞在所難免,但廠商如果沒做好測試就推出的話,原本能避免的問題也變得無法避免。
家居消費者無能為力
一般消費者遇到這些問題時怎麼辦?在選購時應怎樣避開風險?侯振業坦言可能無能為力。由於商業機構大多在路由器外,會再加上防火牆和 IPS 等方案來過濾保護,因此就算遇上有問題的路由器時,也能以這些硬體來多做一層保障。
相反,如果是一般家居消費者就可能難以處理,未必有足夠的資源去配置上述系統來解決後門,而在直到官方推出韌體更新前,使用者也未必有相關的知識和能力,無法自行關閉有關後門。因此目前唯一可以做的,就只有直接把出問題的設備更換而已。
但如果關鍵是出在代工生產商,那就算消費者選擇其他品牌的話,是否也可能再出現相同的問題?侯振業坦言的確如此,這也是為何說有關問題很棘手。他唯一能告訴消費者的是多點留意有關的保安訊息,留意自己使用的路器有否出問題,並盡可能選購紀錄良好的品牌。
Source: TrendLab
