12個(gè)國(guó)家的十幾款華為3G路由器沒(méi)有補(bǔ)丁

責(zé)任編輯:editor005

作者:Recco

2015-10-12 14:44:32

摘自:安全牛

華為并沒(méi)有計(jì)劃為一些存在嚴(yán)重漏洞的3G路由器打補(bǔ)丁,這些漏洞允許攻擊者更改DNS設(shè)置,無(wú)需登錄設(shè)備上傳固件,以及發(fā)動(dòng)拒絕服務(wù)攻擊。

華為并沒(méi)有計(jì)劃為一些存在嚴(yán)重漏洞的3G路由器打補(bǔ)丁,這些漏洞允許攻擊者更改DNS設(shè)置,無(wú)需登錄設(shè)備上傳固件,以及發(fā)動(dòng)拒絕服務(wù)攻擊。

一名安全研究人員皮埃爾·基姆在博客上表示,受影響的路由器分布在12個(gè)國(guó)家,并已不在華為的服務(wù)支持期內(nèi)。基姆主要關(guān)注了華為的B260a型號(hào),這個(gè)型號(hào)的路由曾由突尼斯電信分發(fā)。B260a的固件在超過(guò)12款路由器上使用,該固件的最后一次更新日期為2013年2月20日。

分發(fā)這些路由器的ISP為了給用戶提供定制華服務(wù),也更改過(guò)這些固件,但漏洞問(wèn)題依然存在。

B260a在cookie中以名文形式存儲(chǔ)管理員的用戶名和口令,基姆表示,攻擊者無(wú)需認(rèn)證就能獲得路由器的Wi-Fi口令。

糟糕的設(shè)計(jì),大量的漏洞。

華為官方在8月份收到研究人員提交的信息,并很快做出了回應(yīng),即,沒(méi)有補(bǔ)丁更新的計(jì)劃。但即使華為想為這些路由器的固件打上補(bǔ)丁,也由于ISP更改了固件,致使補(bǔ)丁更新工作變得困難。這些路由器分布在阿根廷、美國(guó)、奧地利、巴西、智利、肯尼亞、馬里、墨西哥、尼日利亞、葡萄牙、羅馬尼亞、斯洛伐尼亞、瑞典和突尼斯。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)