Pen Test Partners:众多品牌的4G移动网络装置含有安全漏洞

发布于2019-08-14 04:50:19

导读: 示意图,图片取自(1)svgsilh(https://svgsilh.com/image/157597.html;(2)FontAwesomeFree5.2.0by@fontawesome-ht

示意图,图片取自(1) svgsilh(https://svgsilh.com/image/157597.html;(2)Font Awesome Free 5.2.0 by @fontawesome - https://fontawesome.com

专精于渗透测试的网络安全业者Pen Test Partners在上周举行的Defcon安全会议上,揭露了多个品牌的4G移动网络装置之安全漏洞,批评这些装置的制造商未来都将生产5G装置,但多数并不注重这些装置的安全性。

Pen Test Partners此次的研究对象为Mi-Fi装置,指的是那些以移动网络作为Wi-Fi 热点的装置,像是4G网卡或4G路由器。Pen Test Partners表示,随着5G即将来临,代表未来几年将有愈来愈多的人使用移动网络来上网或分享,但这些未来将打造5G路由器的业者却不重视装置的安全性,可能使得5G装置沿用4G、3G甚至是2G装置的程式码。

安全研究人员表示,他们只用了少数的4G路由器作为测试样本,便可发现这些装置有多不安全且令人感到沮丧。

Pen Test Partners罗列了各种品牌的移动网络装置漏洞,指称中兴(ZTE)MF910行动网卡路由器的Web服务器固件藏有许多除错功能,还有个远端系统日志模式,可用来回报除错资讯,而其它的漏洞则包括管理员密码泄露、除错端点含有命令注入漏洞、在某个测试网页含有跨站指令码缺口,串连上述漏洞即可透过一个恶意网页于路由器上执行任意程式。

不过,当中兴收到通知时,宣称已终止MF910产品寿命,因此并不打算修补,但Pen Test Partners却依然在中兴官网发现MF910的销售网页。

另一个中兴产品ZTE MF910则含有资讯外泄(CVE-2019-3411)与任意命令执行(CVE-2019-3412)两个漏洞,已被中兴修补。

Netgear产品则含有可绕过跨站请求伪造保护的CVE-2019-14526漏洞,以及验证后命令注入漏洞。至于华为的相关产品也含有验证后服务阻断漏洞,TP-Link路由器则含有验证前命令注入(CVE-2019-12103)与验证后命令注入(CVE-2019-12104)两个漏洞。

相关文章