資安媒體CyberNews與資安研究人員Mantas Sasnauskas、James Clee及Roni Carta在本周共同揭露了多個路由器品牌的後門漏洞,相關漏洞將允許駭客自遠端執行惡意程式並控制這些路由器,包括於Walmart獨家銷售的中國品牌Jetstream,以及在Amazon或eBay上銷售的Wavlink,此外,研究人員也發現,這些含有漏洞的路由器系出同門,它們都源自於中國業者Winstars。

此一研究是始於Clee好奇這些低價路由器的安全性如何,於是他先在Amazon站上買了Wavlink,發現它含有後門,於是聯繫了CyberNews、Sasnauskas與Carta,想釐清採用同一韌體的其它業者所製造的路由器,是否皆含有同樣的後門,進而找到了Jetstream。

研究人員發現,不管是Wavlink或Jetstream品牌的路由器都有一個替後門設計的使用者介面,所使用的韌體則含有一個可用來遠端存取路由器的檔案,其中有個Javascript會檢查使用者所輸入的憑證,若自遠端監控此一Javascript即可取得用戶憑證,就算未於Javascript中存放憑證,亦可自遠端下載未加密的備份,同樣可取得憑證。

研究人員認為,這並非人為疏失,而是有意為之,其程式碼是在了解它可被未經授權存取的狀態下所設計的,因為它除了具備一個後門介面之外,還在既有的認證架構之外驗證憑證,不太像意外。

在確認後門之後,他們建立了一個誘捕系統,顯示相關漏洞已遭到積極的開採,開採目的是為了散布Mirai殭屍病毒,且攻擊IP位於中國。不僅如此,這類的漏洞也將允許駭客檢視使用者所有的網路活動,甚至是控制整個網路,危害連結該網路的各式裝置。

在追查Wavlink與Jetstream的來源之後,研究人員相信這兩個品牌都是屬於中國企業Winstars Technology的子公司。

調查顯示,Wavlink與Winstars擁有部份同樣的員工,且這兩家公司的地址也是一樣的,所銷售的機型也很類似;至於在Walmart上銷售的Jetstream產品也與Winstars產品具備相似的外觀,且Jetstream與Wavlink裝置不只是登入介面很像,在Wavlink登入介面的原始碼中還發現Jetstream字樣。此外,這些路由器內含的檔案中,有許多網址同時出現Jetstream與Wavlink;Jetstream在揭露頁面的資訊、配置檔案及備份檔案都與Wavlink一致,推測Jetstream可能是Winstars在美國市場所使用的品牌。

除了路由器之外,Wavlink品牌的Wi-Fi中繼器也含有同樣的後門。研究人員曾在今年2月將調查結果提報給Winstars,只是該公司一直沒有回應。於是他們建議使用者最好直接換掉這些品牌的路由器與Wi-Fi中繼器,以保障自家的裝置及網路安全。


Advertisement

更多 iThome相關內容