一、简介
磊科路由器后门是由趋势科技的安全研究人员[1]在2014年发现的,当时给出的暴露数量在200万台以上。在5年后的今天,我们的威胁捕获系统每天依旧可以捕获到对于该漏洞的利用。因此,我们将在本文中对其暴露情况和漏洞利用情况进行分析。
磊科路由器的后门端口是53413,对外提供UDP服务,后门采用硬编码的密码,因此,当存在问题的设备暴露在互联网上时,攻击者可以轻易进行登录并在该设备上执行任意代码。
二、磊科路由器暴露情况分析
为了了解当前全球还有多少易受感染的设备,我们对暴露在互联网上的具有后门的磊科路由器进行了测绘。
如无特殊说明,本节所提到的数据为全球单轮次测绘数据(2019年8月)。
具有后门的磊科路由器暴露数量最多的国家是中国,数量接近3000台,其他国家暴露数量相对较少。
测绘数据显示,具有后门的磊科路由器的暴露数量相比2014年该后门被发现时的设备暴露数量,已经少了很多(二百万→三千)。虽然中国的暴露数量占比达到了89%,但是从实际暴露数量来看,也不算多。中国暴露数量相对较多的原因我们猜测是磊科为中国厂商,市场以国内为主。磊科路由器扫描项目[2]给出数据为1028台(2019年10月18日扫描),猜测暴露数量的差异可能与扫描IP的地理位置有关,具体差异原因我们并未深究。
同时,我们也对其进行了登录验证,发现所有的路由器均可登录成功。至于登录成功之后是否能够进行命令执行,我们并未进行验证。
图 2.1 具有后门的磊科路由器的国家分布情况
三、磊科路由器后门利用情况分析
在本节中,我们将借助绿盟威胁捕获系统捕获的数据来说明当前磊科路由器后门相关的威胁态势。数据来源于从2019.3.21至2019.10.30的日志数据。下面我们将分别从攻击源、攻击事件、样本三个维度对蜜罐捕获的日志进行分析。
1攻击源分析
对蜜罐日志中的源IP去重之后,发现共有348个独立的IP连接过蜜罐,其中229个IP进行过后门利用。从进行过后门利用的IP的国家分布情况来看,美国最多,占比达到了51%。
图 3.1 磊科路由器后门蜜罐的日志源IP的国家分布情况
2攻击事件分析
我们对磊科路由器后门蜜罐日志数据中的攻击事件进行了分析,这里我们将一天内一个独立IP的日志看作一次事件,事件的数量我们将以天为单位进行呈现。从图中可以看出,除了最初部署的一段时间事件数量相对较少外,之后的每日事件数量、后门利用事件数量并没有出现过太大的波动。
图 3.2 磊科路由器后门蜜罐捕获的事件分布情况
3样本分析
更进一步,我们对样本下载地址和C&C进行了分析,经过去重,得到有效样本下载地址31个,C&C 29个。通过对样本下载地址和C&C进行关联分析,发现绝对多数的样本下载地址和C&C是相同的。因此,下面仅对样本下载地址的国家分布进行分析。从图中可以看出美国和荷兰的占比最大,这也与进行过后门利用的IP的国家分布保持一致。
说明:样本数据为2019年9月和10月两个月的数据。
图 3.3 磊科路由器后门蜜罐捕获的样本下载地址的国家分布情况
通过对样本下载的脚本进行分析,我们发现其一般会支持多种架构,在我们给出的示例中,该攻击团伙的样本支持了12种架构,包括MIPS、ARM、x86、PowerPC等,而且样本下载脚本也不会区分被攻破的设备到底是什么架构,而是均进行下载,并尝试运行。
图 3.4 磊科路由器后门蜜罐捕获的样本下载脚本示例
四、小结
相比于5年前,磊科路由器所面临的后门利用风险已经大幅降低,当前具有后门的磊科路由器暴露数量不足三千台。虽然暴露数量不多,攻击者依旧在对其进行漏洞利用。
对于这类情况,我们的建议是:
作为用户:可以考虑对设备固件进行升级或者购买新设备以替代已经使用了多年的设备。
作为监管部门:可以推动对于类似漏洞的治理。
作为设备厂商:提供OTA升级的机制,确保新的产品出现漏洞时,可以及时以较为方便的方式使漏洞得到修复。
本文为绿盟科技《2019年物联网安全年报》精彩内容节选,年报预计将于2019年底发布,更多内容敬请期待。
参考文献:
[1].Netis Routers Leave Wide Open Backdoor, https://blog.trendmicro.com/trendlabs-security-intelligence/netis-routers-leave-wide-open-backdoor/
[2].Vulnerable Netis Router Scanning Project, https://netisscan.shadowserver.org/
关于格物实验室
格物实验室专注于工业互联网、物联网和车联网三大业务场景的安全研究。 致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析,关注物联网资产、漏洞、威胁分析。目前已发布多篇研究报告,包括《物联网安全白皮书》、《物联网安全年报2017》、《物联网安全年报2018》、《国内物联网资产的暴露情况分析》、《智能设备安全分析手册》等。与产品团队联合推出绿盟物联网安全风控平台,定位运营商行业物联网卡的风险管控;推出固件安全检测平台,以便快速发现设备中可能存在的漏洞,以避免因弱口令、溢出等漏洞引起设备控制权限的泄露。
内容编辑:格物实验室 张星 责任编辑:肖晴