image

Backdoor in populaire Chinese routers ontdekt

dinsdag 26 augustus 2014, 14:37 door Redactie, 6 reacties

Onderzoekers hebben een backdoor in routers van de Chinese fabrikant Netcore ontdekt, die buiten China onder de naam Netis worden aangeboden, waardoor miljoenen gebruikers risico lopen om te worden aangevallen. Via de backdoor kunnen aanvallers hun eigen code op de router uitvoeren.

De routers hebben een UDP-poort die op poort 53413 luistert en toegankelijk vanaf de WAN-kant van de router is. Dit houdt in dat als de router in kwestie een IP-adres heeft dat van buiten toegankelijk is, wat bij de meeste gebruikers het geval zal zijn, kan een aanvaller van over het internet de backdoor benaderen. De backdoor wordt beveiligd via een "hardcoded" wachtwoord dat in de firmware van de routers is te vinden.

Backdoor

Volgens onderzoekers van anti-virusbedrijf Trend Micro is de backdoor in bijna alle Netcore/Netis-routers aanwezig en gebruiken die naar alle waarschijnlijkheid allemaal hetzelfde wachtwoord. In totaal werden meer dan 2 miljoen IP-adressen ontdekt waarbij de UDP-poort open stond. De meeste routers bevinden zich in China, gevolgd door Zuid-Korea, Taiwan, Israël en de Verenigde Staten.

De onderzoekers stellen dat gebruikers weinig opties hebben om het probleem op te lossen. Het overstappen op andere router-firmware, zoals DD-WRT, is niet echt mogelijk, aangezien slechts één model wordt ondersteund. "Het enige adequate alternatief zou het vervangen van al deze apparaten zijn", aldus de onderzoekers.

Reacties (6)
26-08-2014, 16:02 door Anoniem
Pfff.... als het een Cisco is noemen ze het 'test poort', is het een Netis is het een backdoor..
Zo lust ik er nog wel een.
26-08-2014, 18:50 door potshot
Door Anoniem: Pfff.... als het een Cisco is noemen ze het 'test poort', is het een Netis is het een backdoor..
Zo lust ik er nog wel een.

maar als het een amerikaanse router zou zijn dan reageer je totaal anders wed ik.
maw,chineesjes zijn lief en betrouwbaar en amerikanen niet.
26-08-2014, 20:52 door Anoniem
Door Anoniem: Pfff.... als het een Cisco is noemen ze het 'test poort', is het een Netis is het een backdoor..
Zo lust ik er nog wel een.
Dat zie je verkeerd. Het verschil is dat Cisco het zelf een testpoort noemt, en Netcore niet om reactie is gevraagd of geen reactie heeft gegeven.

Bovendien werkt dat overal zo, er lopen in China maar weinig mensen rond die dol zijn op Europeanen.
De VS daarentegen, kan niet zonder ons ;)
27-08-2014, 12:43 door Anoniem
Hmz.. Ik ken nog een Nederlandse 'fabrikant' die de rebranded versies hiervan verkocht/verkoopt.. Iets met een 'S'...... ;)
29-08-2014, 13:50 door Anoniem
Oude nieuws cisco is beter.

https://www.security.nl/posting/27565/Cisco+backdoor+laat+hackers+iedereen+aftappen
03-09-2014, 15:01 door Anoniem
"Pfff.... als het een Cisco is noemen ze het 'test poort', is het een Netis is het een backdoor.. Zo lust ik er nog wel een."

Een backdoor is een backdoor, of die nou aanwezig is bij Cisco of bij Netis. Natuurlijk proberen bedrijven zelf dit soort incidenten af te zwakken.

"Hmz.. Ik ken nog een Nederlandse 'fabrikant' die de rebranded versies hiervan verkocht/verkoopt.. Iets met een 'S'...... ;)"

Spel de naam maar voluit hoor, is weinig relevant. Shadowserver heeft het hele internet afgescand, en heeft in totaal 1 impacted device gevonden in de ip space van ons land.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.