华为路由器被曝信息泄露漏洞
据报道, Huawei HG中存在信息泄露漏洞,攻击者可利用该漏洞知道设备是否存在默认密码。不过研究人员已将该漏洞报给华为,华为已经发布了漏洞补丁,并联系合作的运营商修补该漏洞。
Huawei HG是中国华为(Huawei)公司的一款网关设备,其用于运营商ISP服务,现被曝出现漏洞(CVE-2018-7900)。该漏洞存在信息泄露,攻击者可利用该漏洞获取凭证信息。
漏洞存在于路由器管理面板中,其造成凭证信息泄露。攻击者在ZoomEye或Shodan IoT进行搜索,查找到具有默认密码的设备列表。
NewSky Security首席研究员Ankit Anubhav 在一篇帖子中解释道:“当查看登录页面的html源码时,很少会注意到声明的变量。其中一个变量就具有特定值。通过监控这一特定值,即可以知道设备具有默认密码。“
“攻击者可以直接访问ZoomEye,查找设备列表并登录,以最少的黑客技能完成他们想要的任务,很简单。“
华为已经发布了修复程序,并与合作的运营商客户联系,修补该漏洞。
NewSky研究人员表示, 考虑到该漏洞潜在攻击面太大,他们不会透露这个漏洞的确切细节,也不会透露在ZoomEye搜索中发现的受影响设备的数量。
“可以感染大量物联网设备的攻击媒介比使用在线只有500台设备的供应商中的漏洞更受青睐。”,Anubhav说。
“在2018年出现的CVE-2018-14847(MikroTik)和CVE-2014-8361都被高度用于攻击,其中造成攻击范围大的共同点就是具有漏洞的设备数量过多。因此,大型物联网供应商的安全漏洞可能比通常的漏洞更为高危。“
关于作者
评论5次
影响还是很大的
华为的服务还是比较到位的,打补丁用不了多久
是的,而且影响有点大。。好多国家都受影响。。华为已经和运营商联xi了修补漏洞。
这个只存在信息泄露吗,能不能getshell,哈哈
泄露的信息是 设备是否使用默认用户名密码,这个设备一般是部署在运营商的网关设备
不过估计是不会放漏洞细节的。。报漏洞的研究员说,危害太大了,不会给漏洞细节
华为的服务还是比较到位的,打补丁用不了多久
这个只存在信息泄露吗,能不能getshell,哈哈