安全研究人员指出中兴、TP

  • 时间:
  • 浏览:0

近日,由多家公司生产的4G路由器均被安全研究人员指出居于严重的安全漏洞,原困 用户随时随后面临信息泄露和命令执行攻击。在今年的DEF CON黑客大会上,来自英国网络安全公司Pen Test Partners的安全研究员G Richter分享了他在许多4G设备中发现的漏洞,并表示“目前市面上的许多许多4G调制解调器和路由器都会安全。”

“亲戚亲戚大伙在来自不同供应商的一系列设备中发现了少量可远程利用的漏洞,何如让利用过程从不错综复杂。”G Richter说,“此外,也能少数原始设备制造商(OME)认真对待了蜂窝技术,使得亲戚亲戚大伙的硬件也能在全球范围内运行。”

G Richter表示,哪此居于安全漏洞的4G设备几乎覆盖了整个价格范围,从消费级路由器和加密狗,到设计用于大型企业网络的非常昂贵的设备。

喜报是,所有哪此漏洞都随后通报给了相应的供应商,何如让目前大每项随后被修复。

中兴路由器漏洞

G Richter表示,在何如对待安全漏洞方面做得最好的应该不是中兴通讯,随后即使是在随后于2017年9月27日停止了对MF910和MF65+路由器的技术支持的情况表下,该公司也仍在声明中对漏洞进行了说明。

不仅没办法 ,中兴通讯在声明中还表示,着实作为MF910和MF65+继承者的MF920和MF65M2也居于相同的漏洞,但亲戚亲戚大伙随后在安全研究人员通报后进行了修复。

根据G Richter的说法,MF910、MF65+和MF920、MF65M2共有的漏洞包括:

管理员密码随后泄露;

其中另一一二个调试端点易收到命令注入攻击;

在另一一二个“test(测试)”页面中还居于跨站点脚本攻击问题。

G Richter表示,攻击者还还上能将这另一一二个漏洞结合起来利用,只都要诱使用户访问恶意页面,就也能在路由器上运行任意代码。

此外,MF920路由器被指还居于另一一二个获得CVE编号的高危漏洞,目前也随后被修复:

CVE-2019-3411-信息泄露(CVSS v3.0评分7.5)

CVE-2019-3412-任意命令执行(CVSS v3.0评分9.8)

Netgear和TP-LINK路由器漏洞

在由Netgear(美国网件)和TP-LINK制造的4G路由器中,Pen Test Partners的安全研究人员同样发现了少量的安全漏洞,其中共要 有八个随后获得了CVE编号:

CVE-2019-14526-跨站点请求伪造旁路(Netgear Nighthawk M1便携式路由器)

CVE-2019-14527-后验证命令注入(Netgear Nighthawk M1便携式路由器)

CVE-2019-12103-预认证命令执行(TP-LINK M73400 4G LTE移动无线路由器)

CVE-2019-12104-认证后命令执行(TP-LINK M73400 4G LTE移动无线路由器)

G Richter表示,随后用户设置另一一二个较错综复杂的密码,甚至仍在使用默认密码,没办法 通过将CVE-2019-14526和CVE-2019-14527这另一一二个漏洞结合起来利用,恶意攻击者就也能在Netgear Nighthawk M1便携式路由器上执行任意代码。

文章来源:黑客视界

进入“网络安全”首页,浏览更多精彩内容 >>