华为路由器被曝信息泄露漏洞

2018-12-22 09:16:43 5 2153

据报道, Huawei HG中存在信息泄露漏洞,攻击者可利用该漏洞知道设备是否存在默认密码。不过研究人员已将该漏洞报给华为,华为已经发布了漏洞补丁,并联系合作的运营商修补该漏洞。





Huawei HG是中国华为(Huawei)公司的一款网关设备,其用于运营商ISP服务,现被曝出现漏洞(CVE-2018-7900)。该漏洞存在信息泄露,攻击者可利用该漏洞获取凭证信息。

漏洞存在于路由器管理面板中,其造成凭证信息泄露。攻击者在ZoomEye或Shodan IoT进行搜索,查找到具有默认密码的设备列表。

NewSky Security首席研究员Ankit Anubhav 在一篇帖子中解释道:“当查看登录页面的html源码时,很少会注意到声明的变量。其中一个变量就具有特定值。通过监控这一特定值,即可以知道设备具有默认密码。“

“攻击者可以直接访问ZoomEye,查找设备列表并登录,以最少的黑客技能完成他们想要的任务,很简单。“


华为已经发布了修复程序,并与合作的运营商客户联系,修补该漏洞。

NewSky研究人员表示, 考虑到该漏洞潜在攻击面太大,他们不会透露这个漏洞的确切细节,也不会透露在ZoomEye搜索中发现的受影响设备的数量。

“可以感染大量物联网设备的攻击媒介比使用在线只有500台设备的供应商中的漏洞更受青睐。”,Anubhav说。

“在2018年出现的CVE-2018-14847(MikroTik)和CVE-2014-8361都被高度用于攻击,其中造成攻击范围大的共同点就是具有漏洞的设备数量过多。因此,大型物联网供应商的安全漏洞可能比通常的漏洞更为高危。“

关于作者

评论5次

要评论?请先  登录  或  注册
  • 5楼
    2018-12-22 20:21

    影响还是很大的

  • 4楼
    2018-12-22 20:13
    dMWlei

    华为的服务还是比较到位的,打补丁用不了多久

    1

    是的,而且影响有点大。。好多国家都受影响。。华为已经和运营商联xi了修补漏洞。

  • 3楼
    2018-12-22 20:12
    lover

    这个只存在信息泄露吗,能不能getshell,哈哈

    1

    泄露的信息是 设备是否使用默认用户名密码,这个设备一般是部署在运营商的网关设备不过估计是不会放漏洞细节的。。报漏洞的研究员说,危害太大了,不会给漏洞细节

  • 2楼
    2018-12-22 19:04

    华为的服务还是比较到位的,打补丁用不了多久

  • 1楼
    2018-12-22 18:40

    这个只存在信息泄露吗,能不能getshell,哈哈