安全媒体CyberNews与安全研究人员Mantas Sasnauskas、James Clee及Roni Carta在本周共同披露了多个路由器品牌的后门漏洞,相关漏洞将允许黑客自远程执行恶意程序并控制这些路由器,包括于Walmart独家销售的中国品牌Jetstream,以及在Amazon或eBay上销售的Wavlink,此外,研究人员也发现,这些含有漏洞的路由器系出同门,它们都源自于中国企业Winstars。
该研究是始于Clee好奇这些低价路由器的安全性如何,于是他先在Amazon站上买了Wavlink,发现它含有后门,于是联系了CyberNews、Sasnauskas与Carta,想厘清采用同一固件的其它企业所制造的路由器,是否皆含有同样的后门,进而找到了Jetstream。
研究人员发现,不管是Wavlink或Jetstream品牌的路由器都有一个替后门设计的用户接口,所使用的固件则含有一个可用来远程访问路由器的文件,其中有个Javascript会检查用户所输入的凭证,若自远程监控该Javascript即可取得用户凭证,就算未于Javascript中存放凭证,也可自远程下载未加密的备份,同样可取得凭证。
研究人员认为,这并非人为疏失,而是有意为之,其程序代码是在了解它可被未经授权访问的状态下所设计的,因为它除了具备一个后门接口之外,还在既有的认证架构之外验证凭证,不太像意外。
在确认后门之后,他们创建了一个诱捕系统,显示相关漏洞已遭到积极的开采,开采目的是为了传播Mirai僵尸病毒,且攻击IP位于中国。不仅如此,这类的漏洞也将允许黑客查看用户所有的网络活动,甚至是控制整个网络,危害连接该网络的各式设备。
在追查Wavlink与Jetstream的来源之后,研究人员相信这两个品牌都是属于中国企业Winstars Technology的子公司。
调查显示,Wavlink与Winstars拥有部分同样的员工,且这两家公司的地址也是一样的,所销售的机型也很类似;至于在Walmart上销售的Jetstream产品也与Winstars产品具备相似的外观,且Jetstream与Wavlink设备不只是登录接口很像,在Wavlink登录接口的源码中还发现Jetstream字样。此外,这些路由器内置的文件中,有许多网址同时出现Jetstream与Wavlink;Jetstream在披露页面的信息、配置文件及备份文件都与Wavlink一致,推测Jetstream可能是Winstars在美国市场所使用的品牌。
除了路由器之外,Wavlink品牌的Wi-Fi中继器也含有同样的后门。研究人员曾在今年2月将调查结果提报给Winstars,只是该公司一直没有回应。于是他们建议用户最好直接换掉这些品牌的路由器与Wi-Fi中继器,以保障自家的设备及网络安全。