華為并沒(méi)有計(jì)劃為一些存在嚴(yán)重漏洞的3G路由器打補(bǔ)丁,這些漏洞允許攻擊者更改DNS設(shè)置,無(wú)需登錄設(shè)備上傳固件,以及發(fā)動(dòng)拒絕服務(wù)攻擊。
一名安全研究人員皮埃爾·基姆在博客上表示,受影響的路由器分布在12個(gè)國(guó)家,并已不在華為的服務(wù)支持期內(nèi)。基姆主要關(guān)注了華為的B260a型號(hào),這個(gè)型號(hào)的路由曾由突尼斯電信分發(fā)。B260a的固件在超過(guò)12款路由器上使用,該固件的最后一次更新日期為2013年2月20日。
分發(fā)這些路由器的ISP為了給用戶提供定制華服務(wù),也更改過(guò)這些固件,但漏洞問(wèn)題依然存在。
B260a在cookie中以名文形式存儲(chǔ)管理員的用戶名和口令,基姆表示,攻擊者無(wú)需認(rèn)證就能獲得路由器的Wi-Fi口令。
糟糕的設(shè)計(jì),大量的漏洞。
華為官方在8月份收到研究人員提交的信息,并很快做出了回應(yīng),即,沒(méi)有補(bǔ)丁更新的計(jì)劃。但即使華為想為這些路由器的固件打上補(bǔ)丁,也由于ISP更改了固件,致使補(bǔ)丁更新工作變得困難。這些路由器分布在阿根廷、美國(guó)、奧地利、巴西、智利、肯尼亞、馬里、墨西哥、尼日利亞、葡萄牙、羅馬尼亞、斯洛伐尼亞、瑞典和突尼斯。