Привет, Хабр! Меня зовут Иван Глинкин, я занимаюсь инфраструктурным тестированием и аппаратным хакингом в Бастионе. Недавно наткнулся на интересное предложение на российских маркетплейсах — роутеры с предустановленным «пожизненным» VPN. Звучит заманчиво: купил, включил и сразу получаешь безлимитный доступ к виртуальной частной сети, причем без подписки.
Но, как говорится, бесплатный сыр бывает только в мышеловке. Я решил разобраться, что на самом деле скрывается за красивыми обещаниями продавцов. Приобрел три роутера из разных ценовых категорий — от бюджетного Cudy за 3000 рублей до топового Xiaomi за 7000. Спойлер: если вы ожидали хеппи-энд, то вы зашли не в тот блог.
В процессе исследования обнаружил несегментированные сети, где можно получить доступ к устройствам других покупателей, пароли admin:admin, хранящиеся в открытом виде, и SSH-доступ для продавцов. А еще выяснил, что «пожизненные» серверы работают на дешевом хостинге за 2,5 доллара.
В этой статье расскажу, какие угрозы скрываются за яркой рекламой и почему экономия на сетевой безопасности может обойтись слишком дорого.
Контрольная закупка
В этом небольшом исследовании участвовали Cudy WR300, Keenetic Starter KN-1121 и Xiaomi AX3000T с «вечным» VPN. Все три модели стоили дороже обычных версий без дополнительных сервисов. В случае Cudy переплата составила половину стоимости роутера — эту модель можно найти в продаже за 1500 рублей.
Карточки этих товаров на маркетплейсах пестрят заманчивыми фразами: «Не требует настройки», «VPN — пожизненно», «Безопасная сеть» и еще десяток обещаний прекрасного будущего за сравнительно небольшие деньги.
Брал тестовые образцы у проверенных продавцов — сотни положительных отзывов, высокие оценки. Комментарии читаются как сказка: железки работают без нареканий, техподдержка отвечает быстрее ChatGPT, а VPN летает. Попадаются и расстроенные покупатели, которые жалуются на скорость или проблемы с подключением к удаленным серверам, но на фоне общего восторга эти претензии незаметны.
Особенно порадовал раздел «вопрос-ответ» на страницах товаров. Там потенциальные покупатели с разумными сомнениями получают бодрые заверения: все включено, сервера надежные, подписки корпоративные, каналы быстрые. Что-то вроде: «Покупайте, не переживайте, все настроено, зуб даем».
Правда, на технические вопросы продавцы отвечают уклончиво. Ну и ладно — сам во всем разберусь. Начну с исследования информационной безопасности самого дешевого роутера, а закончу наиболее дорогим.
Важное предупреждение для хакеров-падаванов и просто любопытных товарищей.
Не подключайте сомнительное сетевое оборудование напрямую к домашней сети. Такие устройства нужно изолировать.
Я использовал свитч D-Link, как основу тестового стенда. Для каждого эксперимента выделял отдельный порт с изолированным VLAN. Трафик шел только в интернет, без доступа к другим сегментам сети.
К Wi-Fi подключался через внешний адаптер Alpha. Это создает дополнительный барьер между тестируемым устройством и основной системой. Работал через виртуальную машину на отдельном компьютере. На VM отключил все альтернативные способы выхода в интернет: никакого Ethernet, второго Wi-Fi или мостов. Полностью закрыл общий доступ к папкам и сетевым ресурсам.
Отдает паранойей уровня «они следят за нами через микроволновки», но это стандартные меры предосторожности при работе с подозрительными устройствами — особенно если они обещают безопасность из коробки.
Исследуем Cudy WR300 — первый пациент на столе
Жертвой номер один стал Cudy WR300. Заводские пломбы-наклейки отсутствовали — уже хороший знак, не правда ли? Внутри коробки лежала скромная инструкция от продавца с контактами техподдержки, элементарными кредами от админки и строгим предупреждением: не сбрасывать Cudy до заводских настроек.
Подключился, ввел логин-пароль и попал в панель управления. Пока все предсказуемо: пользователя встречает родная прошивка Cudy. Поискал тот самый пожизненный VPN и нашел предварительно настроенный клиент WireGuard.
Сразу после включения роутер автоматически цепляется к виртуальной частной сети и начинает неспешно общаться с IP-адресом где-то на Филиппинах.
Попробовал резолвить адрес — не резолвится. Пробил через whois и выяснил интересное: IP зарегистрирован на обычного московского предпринимателя. За ним числится целый пул хостинговых адресов, часть которых засветилась в AbuseIPDB — базе IP с подозрительной активностью.
Немного OSINT по фамилии, и я нашел сайт небольшого хостинг-провайдера из третьего эшелона. Он предоставляет серверы в России, Латвии, Франции, Германии, Эстонии и Нидерландах. Цены на VPS стартуют с 2,5 долларов. Экзотических островов среди публично доступных локаций почему-то не нашлось.
Запустил traceroute, чтобы посмотреть маршрут подключения. Первый хоп — IP роутера, второй — виртуальная сеть, через которую идет трафик.
Сканирование второго IP при помощи Nmap сперва ничего не дало. Поэтому я забрал публичный и приватный ключи со всеми настройками и сохранил в конфигурационный файл WireGuard, чтобы дополнительно исследовать подключение.
Установил WireGuard на виртуальную машину, загрузил туда конфиг и получил прямое подключение к виртуальной сети. И тут началось веселье: оказалось, что она не сегментирована. Сканирование в обход роутера дало результат: Nmap нашел 35 IP-адресов и, конечно, открытые порты — куда без них. Как вы могли догадаться, все соседи — другие счастливые обладатели «безопасных» роутеров этого продавца.
Админки как на ладони, и, поскольку продавец запрещает сбрасывать настройки до заводских, все они наверняка «надежно» защищены паролем admin. В этой ситуации хакеру достаточно приобрести один роутер, чтобы без труда получить прямой доступ к десяткам аналогичных устройств.
В то же время прошивка Cudy WR300 поддерживает удаленный доступ, и в роутере есть предустановленные диагностические приложения. Так, с помощью traceroute можно получить реальный IP-адрес пользователя. Я проверил это на своих IP и убедился: покупателя, находящегося с вами в одной сети, можно вычислить таким образом. Можно слить конфигурационные файлы VPN со всех доступных роутеров. А еще предусмотрено обновление прошивки через web-интерфейс, а это значит можно удаленно залить модифицированный образ — окирпичить или зомбировать устройство, например, сделав его частью ботнета.
Впрочем, даже если забыть о сетевой составляющей, Cudy WR300 нельзя назвать хорошо защищенным.
Анатомия роутера
Закончив с сетью, я перешел на уровень железа. Для этого разобрал устройство и начал изучать его архитектуру на низком уровне.
Первое, что бросается в глаза при взгляде на плату — UART-интерфейс. С его помощью можно управлять устройством напрямую. Рядом расположен флеш-чип — XMC 250H64DHIQ.
По правилам хорошего тона микросхему выпаивают перед чтением прошивки, чтобы на нее не поступало питание с платы, и ничего не влияло на содержимое чипа. Но для быстрого исследования прищепка — приемлемое решение. Однако в таком случае лучше считать прошивку несколько раз и сравнить MD5 хеш-суммы, чтобы убедиться — в полученных данных нет искажений от работающей платы.
Вооружившись считывателем прошивок на базе CH341, я получил... ничего, поскольку этой микросхемы нет в приложении flashroom. Однако Xgecu распознал чип и позволил извлечь прошивку из памяти устройства.
Далее при помощи binwalk я разобрал содержимое скачанной прошивки.
Простым поиском по passwd нашел место хранения учетных данных. Также нашел папку shadow с хешем root-пароля.
Первым делом загуглил хеш, и на первой же странице выдачи нашлась ссылка на хакерский форум. В начале 2025 года кто-то попросил помочь подобрать к нему пароль.
В целом расшифровка хеша — несложная задача при наличии инструментов вроде Hashcat или John the Ripper. Моя проверка подтвердила, что заводской пароль к роутеру действительно — admin.
Вендоры и злоумышленники могут получить удаленный доступ к устройству не только через стандартные пароли. Производитель может модифицировать систему еще до продажи — встроить бэкдоры или шпионское ПО для кражи конфиденциальных данных. А теперь подумайте: зачем так настойчиво просить не сбрасывать роутер к заводским настройкам? Неужели только ради VPN?
Keenetic Starter — второй кандидат на вскрытие
Следующим на очереди был Keenetic KN-1121. Меня снова ждала открытая коробка с криво вырезанной инструкцией, простые пароли по умолчанию и просьба не использовать Wi-Fi с более чем двумя подключенными устройствами.
Беглый осмотр показал, что роутер в порядке и работает на стандартной для кинетиков прошивке от декабря 2024 года, однако на этот раз мне достался нерабочий VPN. Пинг по 8.8.8.8 не пошел — 0 пакетов из 27 отправленных.
Судя по панели управления, продавец использовал OpenVPN. В настройках из коробки были проставлены все разрешения, необходимые для подключения.
В подразделе Other Connections я нашел файл конфигурации, а в нем IP-адрес и порт, куда стучится роутер.
Оказалось, что этот IP принадлежит еще одной небольшой хостинговой компании, которая в основном известна дешевыми промо-тарифами на VPS в Амстердаме.
В разделе с системными файлами роутера можно выгрузить прошивку, startup-config и другие полезные файлы без возни с микросхемами.
Судя по логам, сервер, к которому обращается роутер, отключили, либо мой ключ удалили из базы. Все указывало на то, что проблема не со стороны пользователя.
Служба поддержки в деле
Обратился в службу поддержки, телефон которой был указан в инструкции. Бот-автоответчик спросил, на каком маркетплейсе я покупал роутер, и попросил дождаться специалиста, но я не стал сидеть сложа руки. В еще одном файле — startup-config — нашел пароли и, как в предыдущем случае, хеши, которые легко расшифровываются. Тут ситуация примерно такая же, как и с Cudy.
В процессе сканирования этого роутера нашел пять открытых портов: 23, 53, 80, 443 и 1900. Порт 23 — это telnet, попробовал к нему подключиться с admin:admin, и это сработало. Через telnet и кнопку Tab вывел весь доступный список команд.
Не теряя времени, воспользовался ls, позволяющей увидеть все файлы в данной директории. На глаза попался running-config, где я также нашел зашифрованные логин и пароль admin:admin, ключи от Wi-Fi с сидом и системные настройки.
К этому моменту наконец откликнулась служба поддержки. Мне прислали инструкцию по предоставлению удаленного доступа к роутеру.
Тут-то я и обратил внимание на маленькую деталь: опция с разрешением доступа из интернета была включена по умолчанию. Получается, у продавца этих устройств есть круглосуточный доступ к ним, по крайней мере, если вы не догадаетесь снять эту галочку.
В принципе, ничего необычного. Так делают многие операторы связи, однако это создает риски. Даже у компаний федерального уровня случаются неприятные инциденты с несанкционированным доступом к абонентским устройствам. А здесь имеем дело с ноунеймами с маркетплейса, чья репутация — это отзывы типа: «товар пришел быстро, рекомендую».
Новое подключение — старые грабли
Когда служба поддержки провела удаленную настройку, я вернулся в Other Connections и увидел свежеустановленный клиент WireGuard и соответствующий файл конфигурации. Как и в первом случае, сразу же просканировал эту частную сеть и нашел там еще 33 хоста — эдакий дружный коллектив счастливых обладателей дырявых роутеров.
В открытых портах увидел те же 23, 80 и 443. Дежавю: используя порт 80, можно подключиться к одному из IP подсети, ввести системный логин и пароль с бумажки и получить удаленный доступ к устройству другого покупателя.
А еще можно попытаться исследовать центральный прокси-сервер. Просканировав его с помощью nmap, я обнаружил порты 22 и 443. Попробовал подключиться к 443 (HTTPS), но возникли проблемы с сертификатом: порт оказался открыт, но сервис фактически не работал.
Однако порт 22 (SSH) был доступен. При попытке подключения SSH к root-пользователю выяснилось, что SSH не настроен на аутентификацию по ключу, а использует парольную аутентификацию. Это означает, что любой желающий может устроить брутфорс и попытаться подобрать пароль методом перебора по словарю.
По итогу ситуация с Keenetic в целом напоминает Cudy: несегментированная сеть, низкая защита от взлома, плюс круглосуточный доступ к устройству со стороны продавца и слабо защищенный центральный сервер.
К этому моменту я уже особо не надеялся, что третий роутер окажется безопаснее. Но надежда умирает последней, а любопытство — никогда.
Xiaomi AX3000T — финальный босс
Третий роутер — самый дорогой из тестируемых — может похвастать цветной инструкцией в комплекте и превосходит предшественников по характеристикам.
Пароль по умолчанию здесь немного сложнее предыдущих, но процедура подключения практически такая же.
Роутер запустился с первой попытки, и я сразу зашел в админку. У Xiaomi AX3000T собственная проприетарная прошивка, но меня встретил интерфейс OpenWrt. Продавец мог использовать RCE-уязвимость для взлома роутера и установки альтернативного ПО. Ничего преступного, но никто не гарантирует подлинность образа — в этот образ OpenWrt могли встроить бэкдоры.
Пробежавшись по настройкам и логам, я нашел активный SSH-доступ. Получается, продавец имеет доступ к устройству по умолчанию, причем без ведома покупателя.
OpenWrt, кстати, позволяет выполнять команды прямо на роутере. Я создал пользовательскую команду ls и запустил — работает. Аналогично можно реализовать любые другие команды: сканировать сеть, настроить туннель во внутреннюю инфраструктуру и так далее. Добавьте к этому SSH-доступ — получается отличная точка входа для злоумышленника.
Для перенаправления трафика на роутере установлен сервер V2rayA. Узнав IP-адрес конечного сервера, я вышел уже на более крупного хостера с юридическим адресом в Дубае. Солидно! Это уже не подвал в Подмосковье. Весь диапазон полученных IP-адресов относился к Амстердаму.
В настройках сервера используется протокол VLESS. Это не VPN в классическом понимании, а L4-прокси, работающий поверх TCP или UDP и часто инкапсулируемый в транспорт вроде WebSocket или gRPC с TLS. В отличие от VPN, VLESS не создает маршрутизируемую подсеть между клиентами. Поэтому команда traceroute 8.8.8.8 не работает, и я не смог достучаться до покупателей аналогичных роутеров, как в предыдущих случаях.
При дальнейшем сканировании сервера обнаружил целую россыпь открытых портов. В большинстве случаев при попытке подключения приходил ответ, что ресурса не существует. А вот 443-й порт показывает Yahoo. Это особенность протокола VLESS, которая делает соединение устойчивым к внешним вмешательствам.
Обращения к 22-му порту блокируются. Прокси-сервер требует ключ доступа, так что здесь точно не получится подобрать пароль брутфорсом, как в случае с Keenetic. Настройка выполнена более грамотно — видимо, эти ребята хотя бы читали Хабр.
Вскрытие роутера подтвердило наличие административных прав по умолчанию. Для неопытного пользователя это заметная угроза безопасности. Еще хуже то, что пароль хранится в файлах в незашифрованном виде.
Таким образом, на первый взгляд с роутером Xiaomi дела обстоят лучше, чем с предыдущими — во многом из-за выбора более сложно защищенного протокола передачи данных. Но использование такого устройства без полной перепрошивки и настройки остается высоким риском.
Во-первых, активный SSH дает продавцу постоянный доступ к устройству и локальной сети. Во-вторых, проксирование через чужой сервер тоже не внушает доверия — кто знает, что логируется и куда отправляется. В-третьих, это роутер, перепрошитый неизвестными людьми — вредоносный код могли спрятать глубже, чем можно проверить при базовом анализе. В итоге за свои деньги получаешь еще один источник беспокойства за собственную кибербезопасность.
Выводы: удобство стоит слишком дорого
Проверив три роутера с предустановленным VPN, можно сделать вывод: за красивыми обещаниями скрываются серьезные проблемы безопасности. Ни одно из устройств нельзя рекомендовать для использования в том виде, в котором оно продается.
Что именно не так
Cudy WR300 оказался уязвимым. Несегментированная сеть WireGuard позволяет получить доступ к десяткам других роутеров через пароли admin:admin.
Keenetic KN-1121 показал аналогичные проблемы плюс постоянный доступ продавца к устройству через интернет.
Xiaomi AX3000T выглядит солиднее, но активный SSH, незашифрованные пароли и кастомная прошивка неизвестного происхождения делают его не менее рискованным.
Во всех перечисленных случаях конечный пользователь не имеет ни доступа к настройкам сервера, ни возможности сменить его конфигурацию, ни уверенности, что трафик не зеркалируется.
Почему это происходит
Чтобы бизнес стал рентабельным, продавцы экономят на инфраструктуре и безопасности. Вместо изолированных VPN-подключений используют общие сети, где все клиенты видят друг друга. Серверы арендуют у дешевых хостеров, а устройства настраивают для удаленного управления, чтобы упростить техподдержку. К сожалению, уязвимость подобных устройств заложена в модель их продаж.
Что делать
Если вы уже купили такой роутер, то у меня для вас плохие и хорошие новости. Плохая — ваша безопасность под угрозой. Хорошая — это поправимо. Немедленно смените все пароли по умолчанию, отключите SSH и удаленный доступ, изолируйте устройство от основной домашней сети. Но лучший совет — откажитесь от использования таких роутеров.
В ИБ не бывает бесплатного сыра. Если вам обещают пожизненный VPN за доплату в 1500 рублей, задайтесь вопросом — на чем экономит продавец, и что он получает взамен. Безопасность стоит времени, потраченного на правильную настройку вашего сетевого оборудования, особенно когда речь идет о защите всей домашней сети.
PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона
P.S.
Материал предназначен для специалистов по информационной безопасности. Настоящая статья носит исключительно исследовательский и образовательный характер и не призывает к использованию конкретных сервисов и технологий.
Совершение действий, направленных на нарушение российского законодательства в области связи и информации, может привести к административной и уголовной ответственности.
