Routery Netis obsahují zadní vrátka

Michal Strnad 26. 8. 2014

Routery značky Netis obsahují zadní vrátka umožňující ovládnutí routeru z internetu. Podle bezpečnostních expertů je na těchto zařízení otevřený port 53413, který spolu s neměnným heslem poskytuje útočníkům snadný přístup do zařízení.

Proti této zranitelnosti není obrana, a to ani výměnou firmware za jiný. Pro většinu modelů Netis totiž nejsou k dispozici alternativní firmware jako je dd-wrt, OpenWRT apod. Uživatelé proto většinou alespoň přestávají využívat zařízení v kombinaci s veřejnou IP adresou.

(Zdroj: TrendMicro)

Našli jste v článku chybu?
  • 26. 8. 2014 16:42

    lobo (neregistrovaný) 57.66.119.---

    poslat router vyrobcovi a vypytat si naspat peniaze

  • 26. 8. 2014 17:03

    Nox (neregistrovaný) ---.sattnet.cz

    Dost pochybuji, ze vyrobce ruci za chyby v softwaru.
    Ale asi by se uz v tomhle melo neco delat, o bezpecnostnich chybach v routerech ted ctu kazdou chvili.

  • 26. 8. 2014 17:09

    Abc (neregistrovaný) 193.179.76.---

    No třeba by ze zadních vrátek mohli udělat trestný čin. No prostě když tam najdou zadní vrátka, firma zaplatí obrovskou pokuta a zanikne.

  • 26. 8. 2014 18:05

    j (neregistrovaný) 2001:470:9e70:----:----:----:----:----

    Vyrobce, alespon v podminkach CR, ruci za zpusobene skody. A te zodpovednosti se nemuze zrict ;D.

  • 26. 8. 2014 19:30

    Nox (neregistrovaný) ---.sattnet.cz

    Kdyz si predstavim zalobu za kazdou chybu ve Windows :D

  • 26. 8. 2014 17:05

    Abc (neregistrovaný) 193.179.76.---

    No předpokládám, že v reklamačních podmínkách by ses dočetl, že na chyby v softwaru se záruka nevztahuje.

  • 26. 8. 2014 19:30

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    Úmyslně vytvořený backdoor není chyba.

  • 26. 8. 2014 21:43

    Ano (neregistrovaný) 88.103.137.---

    Dukaz umyslnosti mas kde? Vse je implementovano na prani NSA.

  • 26. 8. 2014 22:06

    Lol Phirae (neregistrovaný) 2001:470:6f:----:----:----:----:----

    Na čí přání to je implementováno nevím, ale zcela očividně se stále nejedná o chybu.

  • 27. 8. 2014 7:43

    X125 (neregistrovaný) 65.197.242.---

    A nebo se jedná o vlastnost (akorát nedokumentovanou)?

  • 27. 8. 2014 15:11

    Kubajz (neregistrovaný) 151.249.108.---

    Ihned po zveřejnění zprávy jsem se jal testovat zařízení u nás v síti, kde je jich asi padesát. U žádného z nich se nám ale nepodařilo nalézt tento typ zranitelnosti. Máme tu 2411ky a 2419ky.

    Možné vysvětlení je:
    a) buď se autor mylně domnívá extrapolací, že jsou postiženy všechny routery a týká se to pouze některých typů, ale nepíše jakých
    b) autor si hrál s firmwarem a mimochodem se mu podařilo backdoor zapnout / vytvořit
    c) autor je lama
    d) autor je podvodník

    Co vy, kolegové síťaři - jak jste na tom?

  • 27. 8. 2014 19:30

    Jan Jirka (neregistrovaný) 188.75.131.---

    Kubajz, mám za to, že může jít o kombinaci a) a c) s důrazem na c). To a) tam přidávám jako možnost, protože se nechci dopustit stejného zobecnění a tvrdit, že *žádný* router Netis nemůže mít takovou chybu, když jsem jich otestoval jenom 5 typů (2411,2415,24­19,2501 a 2780).

    Autor původního článku se domnívá, že nalezl díru, ale dokumentuje ji naprosto nedostatečně. A to co zjistí se ukáže jako blábol. open|filtered v UDP rozhodně neznamená, že je port otevřený, právě naopak.

    A dopustit se rozšíření na *skoro všechny* routery Netis, když to je prokazatelně blábol, je znakem nepřílišné odbornosti (mírně řečeno).

    Zajímalo by mně, proč nenapsal typ routeru, když se do něj dostal, jde to snadno zjistit...

  • 28. 8. 2014 10:48

    Franta Kučera

    Tady je tisková zpráva od českého distributora: Netis.cz - JON.cz - tisková zpráva - 27.8.2014.pdf.

    Ten původní článek neobsahuje prakticky žádné důkazy, může to být smyšlené. Na druhou stranu, dokud nebudou k dispozici kompletní zdrojové kódy, tak se přítomnost backdooru nedá ani vyloučit – může se třeba aktivovat až na vyžádání nějakým kouzelným paketem. Ovšem taková díra může být v každém routeru s proprietárním softwarem – ne jen v tomhle, o kterém zrovna vyšel nějaký článek.

  • 8. 9. 2014 8:58

    vyjádření distributora: (neregistrovaný) ---.odbornici.cz
  • 27. 8. 2014 17:35

    Jan Jirka (neregistrovaný) 188.75.138.---

    JON.CZ je výhradním distributorem WiFi routerů a dalších síťových prvků Netis v Čechách a na Slovensku. Routery Netis dodávané na náš trh jsou vyvíjeny zejména s ohledem na potřeby poskytovatelů internetového připojení (ISP). Disponují řadou funkcí (hardware NAT, podpora VLAN, provoz IPTV, funkce bridge, přístup pomocí Telnet z LAN, autokonfigurační soubor a další), které nejsou dostupné u výrobků jiných značek, zaměřených na trh domácností a malých firem. Tažným koněm těchto routerů jsou osvědčené RISC32 síťové procesory Realtek. Bezpečnost těchto zařízení je prvořadým cílem vedle jejich výkonu a poměru cena/výkon. JON.CZ je také významným poskytovatelem připojení k internetu ve středočeském regionu, který ve vlastní síti nasadil a používá téměř 5.000 kusů routerů Netis různých typů. Více než 50.000 routerů Netis slouží v sítích jiných ISP v ČR.

    Některé české weby přinesly zprávu, že routery Netis obsahují chybu v zabezpečení "zadní vrátka", neboli "backdoor". Mezi prvními byl root.cz , který uvádí i zdroj této zprávy, tedy blog.trendmicro.com . Originální zpráva, na kterou přímo nebo nepřímo odkazují všechny zprávy, je dostupná zde. Jde o první a jedinou zprávu od tohoto autora, nikdy předtím na tomto serveru nepublikoval.

    JON.CZ otestoval routery Netis, které dodává na náš trh, konkrétně modely WF2411, WF2415, WF2501, WF2419 a WF2780 se všemi dostupnými verzemi firmware. Žádný z těchto routerů není možné napadnout způsobem uvedeným v článku, a to ani na uvedeném portu UDP 53413, ani na žádném jiném UDP portu od 1 do 65535. Detaily jsou uvedeny v technické části zprávy dále v dokumentu.

    JON.CZ je připraven na vyžádání poskytnout routery Netis k nezávislým testům zájemcům z řad novinářů, odborné i široké veřejnosti.

    Jan Jirka, JON.CZ
    jan.jirka@jon.cz
    www.netis.cz

  • 27. 8. 2014 17:37

    Jan Jirka (neregistrovaný) 188.75.138.---

    Technický rozbor

    Identifikace "backdooru"
    Originální zpráva, na kterou se odkazují zprávy odvozené je zde:
    http://blog.trendmicro.com/trendlabs-security-intelligence/netis-routers-leave-wide-open-backdoor/.

    Autor ve své zprávě uvádí, že nalezl jakýsi “otevřený” UDP port 53413 na WAN rozhraní routeru. Údajně zjistil, že na portu žije služba XDMCP. Přitom z výpisu testu je patrné, že nalezl daný port ve stavu "open|filtered". Autor neuvádí, o který typ routeru mělo jít, přesto že je snadné tuto informaci zjistit z rozhraní routeru. Vedle dalších údajů uvádí výpis programu netstat z testovacího počítače, kde prezentuje uskutečněné spojení na cílový UDP port 53413.

    Zjištěný stav
    1) nmap prohlásí za "open|filtered” všechny UDP porty, na které nedostane po dotazu odpověď, například pokud je paket zahozen firewallem. (více zde: ). Ve skutečnosti nmap prohlásí za "open|filtered” kterýkoliv port UDP od 1 do 65535, tedy včetně zmiňovaného portu 53413, protože nedostane od routeru žádnou odpověď. To však neznamená, že je router dostupný na daném portu, nýbrž pravý opak.

    2) Služba XDMCP je "X Display Manager Control Protocol”, podobně jako RDP nebo VNC jde o službu umožňující vzdálený přístup do grafického sytému X (např. Xfree86). Žádný takový grafický systém nikdy nebyl a s ohledem na velikost vnitřní paměti routerů ani nemohl být nikdy v routerech Netis instalován.

    3) Výpis programu netstat uvádí aktivní spojení na port UDP 53413. Tento výpis je pořízen na testovacím počítači, nikoliv na routeru. Protože UDP je nespojovaný (connectionless) protokol, stačí otevřít daný port ze zdrojového počítače a bez ohledu na to, zda je spojení skutečně funkční, bude uvedeno ve výpisu netstat jako uskutečněné/spo­jené. Tento údaj je naprosto nevypovídající.

    Důkaz

    1) Test otevřených portů.
    Proveďte příkaz "nmap -T4 -sU -p 53413 -v 192.168.3.1”, kde volbou -p určíte UDP port (můžete zadat i rozsah, například “1-100” nebo “1-65535”) a poslední údaj nahradíte IP adresou WAN rozhraní routeru.

    Odpověď bude zhruba tato:

    Starting Nmap 6.46 ( http://nmap.org ) at 2014-08-27 01:36 CEST
    Initiating ARP Ping Scan at 01:36
    Scanning 192.168.3.1 [1 port]
    Completed ARP Ping Scan at 01:36, 0.01s elapsed (1 total hosts)
    Initiating Parallel DNS resolution of 1 host. at 01:36
    Completed Parallel DNS resolution of 1 host. at 01:36, 0.02s elapsed
    Initiating UDP Scan at 01:36
    Scanning 192.168.3.1 [1 port]
    Completed UDP Scan at 01:36, 0.23s elapsed (1 total ports)
    Nmap scan report for 10.0.0.1
    Host is up (0.00048s latency).
    PORT STATE SERVICE
    53413/udp open|filtered unknown
    MAC Address: 08:10:77:85:06:6C (Unknown)

    2) Otevření UDP spojení.
    Proveďte příkaz "nc -vu 192.168.3.1 53413" a ponechte program otevřený (ukončíte později příkazem "q"). Program se pokusí vytvořit spojení a dokonce sdělí, že spojení úspěšně vytvořil:

    found 0 associations
    found 1 connections:
    1: flags=82<CONNEC­TED,PREFERRED>
    outif (null)
    src 192.168.10.49 port 64753
    dst 192.168.3.1 port 53413
    rank info not available

    Connection to 192.168.3.1 port 53413 [udp/*] succeeded!

    Nejde však o spojení pomocí protokolu TCP, takže program pouze oznamuje, že je připraven vysílat data na tento UDP port a případně přijmout odpovědi. Neví nic o tom, že cílová strana data nepřijme.


    3) Výpis netstat.
    Nyní proveďte příkaz "netstat -a -p UDP", který vypíše spojení uskutečněná protokolem UDP. Výpis je zkrácen:

    Active Internet connections (including servers)
    Proto Recv-Q Send-Q Local Address Foreign Address (state)
    udp4 0 0 192.168.10.49.55288 1-3-168-192.j.53413

    Výpis programu netstat "potvrzuje", že probíhá spojení na daný UDP port. Protože však nepoužíváme protokol spojovaný (TCP), je tato informace značně neurčitá. Ve skutečnosti je v cíli veškerý provoz zahazován (drop), ale protokol UDP o tom z principu nemůže vědět.

    Závěr
    Autor originálního článku si zřejmě mylně vysvětlil význam stavu "open|filtered” v programu nmap. Ve skutečnosti není možné uvedený UDP port na WAN rozhraní otevřít na žádném z testovaných zařízení. Jako další důkaz uvádí výpis z programu netstat, který však žádným důkazem není a z principu funkce protokolu UDP ani důkazem být nemůže.

    Díky důkladné znalosti a praktickým zkušenostem s routery Netis si dovoluji tvrdit, že v žádném z uvedených routerů není od výrobce uvedeno žádné přihlašovací jméno nebo heslo. Bohužel nelze přinést důkaz o neexistenci něčeho, co prostě není.

    Zajímavé je, že přestože autor tvrdí, že se mu podařilo popisovaný průnik uskutečnit, neuvádí, o jaký typ routeru šlo. Ve skutečnosti by to snadno zjistil, pokud by se dovnitř dostal. Místo toho tvrdí, že téměř všechny routery Netis/Netcore mají tuto slabinu ("Almost all Netcore/Netis routers appear to have this vulnerability”). Toto tvrzení je vyvráceno našimi testy. Podle mne není pravděpodobné, že existuje routeru Netis, do kterého by bylo možné takto proniknout, rozhodně však nejde o žádný router z výše jmenovaných.

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

Vitalia.cz: Zmrzlinu? Ani snad ne

Zmrzlinu? Ani snad ne

Měšec.cz: Banky umí platby na kartu, jen to neříkají

Banky umí platby na kartu, jen to neříkají

120na80.cz: Jaké plavecké pomůcky vaše dítě ochrání?

Jaké plavecké pomůcky vaše dítě ochrání?

DigiZone.cz: RRTV: Zabiják Joe za tři sta tisíc

RRTV: Zabiják Joe za tři sta tisíc

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

DigiZone.cz: Nestihli jste Bonda na ČT2? Zkuste RTVS

Nestihli jste Bonda na ČT2? Zkuste RTVS

Vitalia.cz: Cvičení tabata: na hubnutí i posilování?

Cvičení tabata: na hubnutí i posilování?

Podnikatel.cz: Prodej na Alibabě? Malí hráči utřou nos

Prodej na Alibabě? Malí hráči utřou nos

120na80.cz: SOS aneb spálená pokožka

SOS aneb spálená pokožka

Vitalia.cz: Mateřská - nejlepší období v životě ženy? Hahahaha

Mateřská - nejlepší období v životě ženy? Hahahaha

Lupa.cz: Seznam.cz sleduje stisky kláves, aby odhalil roboty

Seznam.cz sleduje stisky kláves, aby odhalil roboty

DigiZone.cz: Skylink: do pátku může docházet k výpadkům

Skylink: do pátku může docházet k výpadkům

DigiZone.cz: Ve Varech představeni i noví "Četníci"

Ve Varech představeni i noví "Četníci"

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu