18.06.2025
1 хв
817
Дешеві роутери з маркетплейсів із “довічним VPN” можуть стати вразливістю у вашій мережі. У нашій статті ми розповідаємо, чому популярні моделі з AliExpress та інших платформ насправді відкривають віддалений доступ, використовують єдину VPN‑мережу для всіх користувачів і мають дефолтні паролі, які не змінює майже ніхто.
На онлайн-маркетплейсах можна знайти роутери з уже налаштованим VPN-сервісом, який подається як «довічний» — без підписок, без складних налаштувань. Така пропозиція виглядає привабливо: досить увімкнути пристрій — і можна користуватись захищеним з’єднанням без обмежень. При цьому вартість таких пристроїв помітно нижча за класичні VPN-рішення.
Однак глибокий аналіз одразу кількох популярних моделей у різних цінових категоріях (зокрема — Cudy WR300, Keenetic Starter, Xiaomi AX3000T) виявив низку критичних недоліків, які ставлять під загрозу безпеку всієї домашньої мережі. Основні проблеми включають:
повну відсутність сегментації в VPN‑інфраструктурі (всі користувачі опиняються в одній мережі),
відкриті дефолтні паролі типу admin:admin,
активний SSH‑доступ, що дозволяє третім особам контролювати пристрій.
Крім того, серверна частина «довічного VPN» часто базується на хостингах вартістю 2–3 долари на місяць, що вказує на низький рівень надійності та потенційний ризик експлуатації пристрою сторонніми особами — наприклад, для стеження або як частини ботнету.
Матеріал детально пояснює, як саме працює така схема, чим вона небезпечна для користувача і чому економія на безпеці може коштувати занадто дорого.
Жертвою номер один став Cudy WR300. Заводські пломби-наклейки були відсутні — вже добрий знак, чи не так?
Підключився, ввів логін-пароль і потрапив у панель управління. Поки що все передбачувано: користувача зустрічає рідна прошивка Cudy.
Відразу після включення роутер автоматично чіпляється до приватної віртуальної мережі і починає неспішно спілкуватися з IP-адресою десь на Філіппінах.
Спробував резолвувати адресу – не резолвується. Пробив через whois і з’ясував цікаве: IP зареєстровано на звичайного московського підприємця. За ним числиться цілий пул хостингових адрес, частина яких засвітилася в AbuseIPDB – основі IP з підозрілою активністю.
Небагато OSINT на прізвище, і я знайшов сайт невеликого хостинг-провайдера з третього ешелону. Він надає сервери в Латвії, Франції, Німеччині, Естонії та Нідерландах. Ціни на VPS стартують із 2,5 доларів. Екзотичних островів серед публічно доступних локацій чомусь не знайшлося.
Запустив traceroute, щоб переглянути маршрут підключення. Перший хоп – IP роутера, другий – віртуальна мережа, через яку йде трафік.
Сканування другого IP за допомогою Nmap спочатку нічого не дало. Тому я забрав публічні та приватні ключі з усіма налаштуваннями і зберіг у конфігураційний файл WireGuard, щоб додатково дослідити підключення.
Встановив WireGuard на віртуальну машину, завантажив туди конфіг та отримав пряме підключення до віртуальної мережі. І тут почалися веселощі: виявилося, що вона не сегментована. Сканування в обхід роутера дало результат: Nmap знайшов 35 IP-адрес і, звичайно, відкриті порти — без них. Як ви могли здогадатися, всі сусіди — інші щасливі власники безпечних роутерів цього продавця.
Адмінки як на долоні, і оскільки продавець забороняє скидати налаштування до заводських, всі вони напевно «надійно» захищені паролем admin. У цій ситуації хакеру достатньо придбати один роутер, щоб легко отримати прямий доступ до десятків аналогічних пристроїв.
У той же час, прошивка Cudy WR300 підтримує віддалений доступ, і в роутері є встановлені діагностичні програми. Так, за допомогою traceroute можна отримати реальну IP-адресу користувача. Я перевірив це на своїх IP і переконався: покупця, який перебуває з вами в одній мережі, можна визначити таким чином. Можна злити конфігураційні файли VPN з усіх доступних роутерів. А ще передбачено оновлення прошивки через web-інтерфейс, а це означає, що можна віддалено залити модифікований образ – округлити або зомбувати пристрій, наприклад, зробивши його частиною ботнета.
Втім, навіть якщо забути про мережеву складову, Cudy WR300 не можна назвати добре захищеним.
Закінчивши із мережею, я перейшов на рівень заліза. Для цього розібрав пристрій та почав вивчати його архітектуру на низькому рівні.
Перше, що впадає у вічі при погляді на плату — UART-інтерфейс. З його допомогою можна керувати пристроєм безпосередньо. Поруч розташований флеш-чіп – XMC 250H64DHIQ.
За правилами гарного тону мікросхему випоюють перед читанням прошивки, щоби на неї не надходило харчування з плати, і нічого не впливало на вміст чіпа. Але для швидкого дослідження прищіпка – прийнятне рішення. Однак у такому разі краще рахувати прошивку кілька разів і порівняти MD5 хеш-суми, щоб переконатися – в отриманих даних немає спотворень від працюючої плати.
Озброївшись зчитувачем прошивок на базі CH341, я отримав нічого, оскільки цієї мікросхеми немає в додатку flashroom. Однак Xgecu розпізнав чіп та дозволив витягти прошивку з пам’яті пристрою.
Далі за допомогою binwalk я розібрав вміст завантаженої прошивки.
Простим пошуком passwd знайшов місце зберігання облікових даних. Також знайшов папку shadow із хешем root-паролю.
Насамперед загуглив хеш, і на першій же сторінці видачі знайшлося посилання на хакерський форум. На початку 2025 хтось попросив допомогти підібрати до нього пароль.
Загалом розшифровка хеша – нескладне завдання за наявності інструментів на зразок Hashcat або John the Ripper.
Вендори та зловмисники можуть отримати віддалений доступ до пристрою не лише через стандартні паролі. Виробник може модифікувати систему ще до продажу – вбудувати бекдор або шпигунське ПЗ для крадіжки конфіденційних даних. А тепер подумайте: навіщо так наполегливо просити не скидати роутер до заводських налаштувань? Невже тільки заради VPN?
Наступним на черзі був Keenetic KN-1121. Мене знову чекала відкрита коробка з криво вирізаною інструкцією, прості паролі за промовчанням та прохання не використовувати Wi-Fi з більш ніж двома підключеними пристроями.
Побіжний огляд показав, що роутер гаразд і працює на стандартній для кінетиків прошивці від грудня 2024 року, проте цього разу мені дістався неробочий VPN. Пінг по 8.8.8.8 не пішов – 0 пакетів із 27 відправлених.
Судячи з панелі управління продавець використовував OpenVPN. У налаштуваннях з коробки було проставлено всі дозволи, необхідні підключення.
У підрозділі Other Connections я знайшов файл конфігурації, а в ньому IP-адресу та порт, куди стукає роутер.
Виявилося, що цей IP належить ще одній невеликій хостинговій компанії, яка відома в основному дешевими промо-тарифами на VPS в Амстердамі. У розділі із системними файлами роутера можна вивантажити прошивку, startup-config та інші корисні файли без метушні з мікросхемами.
Судячи з логів, сервер, до якого звертається роутер, відключили, або мій ключ видалили з бази.
Звернувся в службу підтримки, телефон якої був вказаний в інструкції. Бот-автовідповідач запитав, на якому маркетплейсі я купував роутер, і попросив дочекатися фахівця, але я не став сидіти склавши руки. Cudy.
У процесі сканування цього роутера знайшов п’ять відкритих портів: 23, 53, 80, 443 і 1900. Порт 23 – це telnet, спробував підключитися до нього з admin:admin, і це спрацювало. Через telnet та кнопку Tab вивів весь доступний список команд.
Не гаючи часу, скористався ls, що дозволяє побачити всі файли в даній директорії. На очі потрапив running-config, де я також знайшов зашифровані логін та пароль admin:admin, ключі від Wi-Fi з сидом та системні налаштування.
На цей момент нарешті відгукнулася служба підтримки. Мені надіслали інструкцію щодо надання віддаленого доступу до роутера.
Ось тут я і звернув увагу на маленьку деталь: опція з дозволом доступу з інтернету була включена за замовчуванням. Виходить, продавець цих пристроїв має цілодобовий доступ до них, принаймні, якщо ви не здогадаєтеся зняти цю галочку.
У принципі, нічого незвичайного. Так роблять багато операторів зв’язку, проте це створює ризики. Навіть у компаній федерального рівня трапляються неприємні інциденти з несанкціонованим доступом до абонентських пристроїв.
Коли служба підтримки здійснила віддалену настройку, я повернувся до Other Connections і побачив свіжовстановлений клієнт WireGuard та відповідний файл конфігурації. Як і в першому випадку, відразу ж просканував цю приватну мережу і знайшов там ще 33 хости — такий собі дружний колектив щасливих володарів дірявих роутерів.
У відкритих портах побачив ті ж 23, 80 і 443. Дежавю: використовуючи порт 80, можна підключитися до одного з IP підмережі, ввести системний логін та пароль з папірця та отримати віддалений доступ до пристрою іншого покупця.
А ще можна спробувати дослідити центральний проксі-сервер. Просканувавши його за допомогою nmap, я виявив порти 22 і 443. Спробував підключитися до 443 (HTTPS), але виникли проблеми із сертифікатом: порт виявився відкритим, але сервіс фактично не працював.
Однак порт 22 (SSH) був доступний. При спробі підключення SSH до root-користувача з’ясувалося, що SSH не налаштований на аутентифікацію за ключем, а використовує парольну аутентифікацію. Це означає, що будь-хто може влаштувати брутфорс і спробувати підібрати пароль методом перебору за словником.
За підсумками ситуація з Keenetic загалом нагадує Cudy: несегментована мережа, низький захист від злому, плюс цілодобовий доступ до пристрою з боку продавця та слабко захищений центральний сервер.
На цей момент я вже особливо не сподівався, що третій роутер виявиться безпечнішим. Але надія вмирає останньою, а цікавість ніколи.
Третій роутер – найдорожчий з тестованих – може похвалитися кольоровою інструкцією в комплекті і перевершує попередників за характеристиками.
Пароль за замовчуванням тут трохи складніший за попередні, але процедура підключення практично така ж.
Роутер запустився з першої спроби, і я одразу зайшов до адмінки. Xiaomi AX3000T має власну пропрієтарну прошивку, але мене зустрів інтерфейс OpenWrt. Продавець міг використовувати RCE-вразливість для злому роутера та встановлення альтернативного ПЗ. Нічого злочинного, але ніхто не гарантує справжність образу – у цей образ OpenWrt могли вбудувати бекдори.
Пробігшись за настройками та логами, я знайшов активний SSH-доступ. Виходить, продавець має доступ до пристрою за умовчанням, причому без відома покупця.
OpenWrt, до речі, дозволяє виконувати команди прямо на роутері. Я створив команду ls і запустив — працює. Аналогічно можна реалізувати будь-які інші команди: сканувати мережу, налаштувати тунель у внутрішню інфраструктуру тощо. Додайте до цього SSH-доступ – виходить чудова точка входу для зловмисника.
Для перенаправлення трафіку на роутері встановлено сервер V2rayA. Дізнавшись IP-адресу кінцевого сервера, я вийшов уже на більшого хостера з юридичною адресою в Дубаї. Солідно! Це вже не підвал у Підмосков’ї. Весь діапазон отриманих IP-адрес ставився до Амстердама.
У налаштуваннях сервера використовується протокол VLESS. Це не VPN в класичному розумінні, а L4-проксі, що працює поверх TCP або UDP і часто інкапсульований в транспорт на зразок WebSocket або gRPC з TLS. аналогічних роутерів, як у попередніх випадках.
При подальшому скануванні сервера виявив цілий розсип відкритих портів. У більшості випадків при спробі підключення відповідала, що ресурсу не існує. А ось 443 порт показує Yahoo. Це особливість протоколу VLESS, яка робить з’єднання стійким до зовнішніх втручань.
Звернення до 22-го порту блокуються. Проксі-сервер вимагає ключ доступу, так що тут точно не вийде підібрати пароль брутфорсом, як у випадку з Keenetic.
Розтин роутера підтвердив наявність адміністративних прав за умовчанням. Для недосвідченого користувача це помітна загроза безпеці. Ще гірше те, що пароль зберігається у файлах у незашифрованому вигляді.
Таким чином , на перший погляд з роутером Xiaomi справи кращі, ніж з попередніми — багато в чому через вибір складніше захищеного протоколу передачі даних. Але використання такого пристрою без повної перепрошивки та налаштування залишається високим ризиком.
По-перше, активний SSH дає продавцю постійний доступ до пристрою та локальної мережі. По-друге, проксування через чужий сервер теж не вселяє довіри – хто знає, що логується і куди вирушає. По-третє, це роутер, перепрошений невідомими людьми — шкідливий код могли заховати глибше, ніж можна перевірити під час базового аналізу. У результаті за свої гроші отримуєш ще одне джерело занепокоєння за власну кібербезпеку.
Перевіривши три роутери з встановленим VPN, можна зробити висновок: за гарними обіцянками ховаються серйозні проблеми безпеки. Жодне із пристроїв не можна рекомендувати для використання у тому вигляді, в якому воно продається.
Cudy WR300 виявився вразливим. Несегментована мережа WireGuard дозволяє отримати доступ до десятків інших роутерів через паролі admin:admin.
Keenetic KN-1121 показав аналогічні проблеми плюс постійний доступ продавця до пристрою через інтернет.
Xiaomi AX3000T виглядає солідніше, але активний SSH, незашифровані паролі та кастомна прошивка невідомого походження роблять його не менш ризикованим.
В усіх випадках кінцевий користувач не має ні доступу до налаштувань сервера, ні можливості змінити його конфігурацію, ні впевненості, що трафік не дзеркається.
Щоб утримати низьку ціну та вийти на масовий ринок, продавці змушені економити на критичних елементах — зокрема, на серверній інфраструктурі та заходах кіберзахисту. Замість виділених тунелів використовуються загальні VPN‑мережі, де всі пристрої підключаються до одного середовища без ізоляції. Сервери орендують на малобюджетних платформах, а самі роутери за замовчуванням відкриті для віддаленого керування — найчастіше заради «спрощення підтримки». Усе це не просто недопрацювання — вразливість таких рішень є прямим наслідком моделі їхнього продажу.
Якщо пристрій уже у вас — ситуація не безнадійна. Насамперед слід усвідомити, що під загрозою не лише швидкість, а й ваша цифрова безпека. Щоб знизити ризики, потрібно:
Негайно змінити стандартні облікові дані;
Вимкнути віддалений доступ і SSH, якщо він активний;
Винести роутер у окрему VLAN або гостьову мережу, щоб ізолювати його від основних пристроїв удома.
Однак найнадійніше рішення — повністю відмовитися від використання таких пристроїв. Надійний VPN не може бути «довічним» за символічну доплату — це сигнал не економії, а компромісу з безпекою.
У сфері інформаційної безпеки не буває чудес. Якщо хтось пропонує захищене з’єднання за копійки, варто задуматися — на чому він заощаджує і яку вигоду має з вас? Захищена мережа вимагає уваги, грамотної конфігурації й обдуманих рішень. І саме вони, а не маркетингові обіцянки, є основою цифрової безпеки вдома.
