趋势科技：台企Netis路由器后门影响至今

代码卫士 2022-04-06

两年前趋势科技报告称台企磊科旗下的Netis路由器存在后门可导致设备被攻击者完全控制，现在研究人员发现自8月份以来针对这个后门的扫描达到5700万次。

当时研究人员指出攻击者只需要知道路由器的外部IP地址就能通过UDP端口53413控制设备，随后就能够通过硬编码到固件中的密码访问后门。攻击者控制设备后能够修改设置实施中间人攻击以及其他恶意行为。而关于路由器的记录材料中却对这个后门只字未提。

趋势科技研究人员指出，从自家工具TippingPoint Digital Vaccine过滤器收集到的数据来看，这个后门还在被利用，检测发现存在大量试图跟后门通信的扫描行为。从8月份开始，趋势科技已经检测到290万次扫描，而这只是基于5%的自定义过滤点击，也就是说有超过5700万事件已被记录。

研究人员从TippingPoint设备中发现所有的这些扫描都是正确肯定的，因此他们深入研究后发现存在专门利用这个后门功能的大量公开利用代码或扫描工具。上周在一个IPS上就发现了近5万个事件，其中多数来自英国（4万次点击），余下多数的来自中国和朝鲜。

研究人员指出，这表明全球范围内都在积极扫描IPv4空间，试图查找响应这个后门的联网路由器。鉴于这个扫描活动持续的时间以及累积的次数，很有可能有大量路由器正在被攻陷并被用于恶意目的如中间人攻击等。