Сериозни бъгове открити в 4G рутерите
Критични уязвимости разрешават вдишване на надзор и отдалечено осъществяване на команди в необятен набор от устройства от разнообразни снабдители, сигнализира компания за сигурност
Потребителски и корпоративни 4G рутери съдържат рискови, даже сериозни уязвимости (снимка: CCO Public Domain)
В мобилните 4G рутери на разнообразни производители са открити съществени уязвимости, които разрешават на хакери да поемат контрола над тях. Засегнати са както потребителски , по този начин и корпоративни устройства , сигнализира компанията за сигурност Pen Test Partners.
Успешно потребление на някои от уязвимостите води до приключване на значима информация, до момента в който в други случаи атакуващите могат да изпълнят случаен код на устройствата. Няколко производителя работят интензивно с клетъчните оператори, тъй че тяхното съоръжение и програмен продукт са всеобщо употребявани.
Сериозни, от време на време сериозни уязвимости
„ Открихме сериозни уязвимости, които разрешиха отдалечена употреба в необятен набор от устройства от разнообразни снабдители и нямаше потребност да изразходваме доста старания за това ”, споделят откривателите по осведомителна сигурност от Pen Test Partners.
Компанията е тествала както потребителски, по този начин и корпоративни устройства. Уязвимостите, открити в тях, са доста съществени и от време на време сериозни. Става въпрос за приключване на администраторски пароли, инжектиране на команди и XSS накърнимост в неизползвана „ тестова ” страница в софтуерната обвивка. Комбинации от „ бъгове ” разрешават стартиране на случаен код на рутерите.
Реакцията на производителите
Цялата информация за уязвимостите е предадена на производителите на устройства. Някои уязвимости са отстранени, други не. По-специално, ZTE, съгласно специалистите, е отказала да поправи проблемите, открити в маршрутизаторите MF910 и MF65 +, защото тяхната поддръжка е изтекла през 2017 година
В MF910 и идващото потомство маршрутизатор, MF920, специалистите са разпознали евентуално приключване на администраторска ключова дума и опция за случайно осъществяване на команди. Заплахата от втората накърнимост е оценена на 9,8 точки по десетобална канара. ZTE въпреки всичко е отстранила тези два казуса.
В допълнение, редица проблеми са открити в мобилния рутер Netgear Nighthawk M1: това са XSS уязвимости, които също разрешават пускане на случайни команди на уязвимото устройство, в случай че в уеб интерфейса не е заложена мощна ключова дума.
Pen Test Partners също по този начин демонстрира по какъв начин може да се заобиколи CSRF отбраната и разказва опцията за пробив на криптирането на софтуерната обвивка M1. Освен това компанията е разкрила две уязвимости в маршрутизаторите TP-Link M7350 4G LTE Mobile, които разрешат на атакуващите да инжектират команди.
Рискът се трансферира и към 5G
Разкритията слагат под въпрос сигурността на 5G маршрутизаторите. Вероятността те да са цялостни с уязвимости – в същата степен като устройствата от предходни генерации – е доста огромна. Особено в случай че не бъдат открити строги условия към софтуерните обвивки на оборудването.
Проблем е и фактът, че безжичните маршрутизатори са устройства, които се употребяват с минимум внимание от своите консуматори. Дори и да излизат актуализации на сигурността, това въобще не значи, че ще бъдат конфигурирани.
Потребителски и корпоративни 4G рутери съдържат рискови, даже сериозни уязвимости (снимка: CCO Public Domain)
В мобилните 4G рутери на разнообразни производители са открити съществени уязвимости, които разрешават на хакери да поемат контрола над тях. Засегнати са както потребителски , по този начин и корпоративни устройства , сигнализира компанията за сигурност Pen Test Partners.
Успешно потребление на някои от уязвимостите води до приключване на значима информация, до момента в който в други случаи атакуващите могат да изпълнят случаен код на устройствата. Няколко производителя работят интензивно с клетъчните оператори, тъй че тяхното съоръжение и програмен продукт са всеобщо употребявани.
Сериозни, от време на време сериозни уязвимости
„ Открихме сериозни уязвимости, които разрешиха отдалечена употреба в необятен набор от устройства от разнообразни снабдители и нямаше потребност да изразходваме доста старания за това ”, споделят откривателите по осведомителна сигурност от Pen Test Partners.
Компанията е тествала както потребителски, по този начин и корпоративни устройства. Уязвимостите, открити в тях, са доста съществени и от време на време сериозни. Става въпрос за приключване на администраторски пароли, инжектиране на команди и XSS накърнимост в неизползвана „ тестова ” страница в софтуерната обвивка. Комбинации от „ бъгове ” разрешават стартиране на случаен код на рутерите.
Реакцията на производителите
Цялата информация за уязвимостите е предадена на производителите на устройства. Някои уязвимости са отстранени, други не. По-специално, ZTE, съгласно специалистите, е отказала да поправи проблемите, открити в маршрутизаторите MF910 и MF65 +, защото тяхната поддръжка е изтекла през 2017 година
В MF910 и идващото потомство маршрутизатор, MF920, специалистите са разпознали евентуално приключване на администраторска ключова дума и опция за случайно осъществяване на команди. Заплахата от втората накърнимост е оценена на 9,8 точки по десетобална канара. ZTE въпреки всичко е отстранила тези два казуса.
В допълнение, редица проблеми са открити в мобилния рутер Netgear Nighthawk M1: това са XSS уязвимости, които също разрешават пускане на случайни команди на уязвимото устройство, в случай че в уеб интерфейса не е заложена мощна ключова дума.
Pen Test Partners също по този начин демонстрира по какъв начин може да се заобиколи CSRF отбраната и разказва опцията за пробив на криптирането на софтуерната обвивка M1. Освен това компанията е разкрила две уязвимости в маршрутизаторите TP-Link M7350 4G LTE Mobile, които разрешат на атакуващите да инжектират команди.
Рискът се трансферира и към 5G
Разкритията слагат под въпрос сигурността на 5G маршрутизаторите. Вероятността те да са цялостни с уязвимости – в същата степен като устройствата от предходни генерации – е доста огромна. Особено в случай че не бъдат открити строги условия към софтуерните обвивки на оборудването.
Проблем е и фактът, че безжичните маршрутизатори са устройства, които се употребяват с минимум внимание от своите консуматори. Дори и да излизат актуализации на сигурността, това въобще не значи, че ще бъдат конфигурирани.
Източник: technews.bg
КОМЕНТАРИ