示意圖,圖片取自(1) svgsilh(https://svgsilh.com/image/157597.html;(2)Font Awesome Free 5.2.0 by @fontawesome - https://fontawesome.com

專精於滲透測試的網路安全業者Pen Test Partners在上周舉行的Defcon安全會議上,揭露了多個品牌的4G行動網路裝置之安全漏洞,批評這些裝置的製造商未來都將生產5G裝置,但多數並不注重這些裝置的安全性。

Pen Test Partners此次的研究對象為Mi-Fi裝置,指的是那些以行動網路作為Wi-Fi 熱點的裝置,像是4G網卡或4G路由器。Pen Test Partners表示,隨著5G即將來臨,代表未來幾年將有愈來愈多的人使用行動網路來上網或分享,但這些未來將打造5G路由器的業者卻不重視裝置的安全性,可能使得5G裝置沿用4G、3G甚至是2G裝置的程式碼。

安全研究人員表示,他們只用了少數的4G路由器作為測試樣本,便可發現這些裝置有多不安全且令人感到沮喪。

Pen Test Partners羅列了各種品牌的行動網路裝置漏洞,指稱中興(ZTE)MF910行動網卡路由器的Web伺服器韌體藏有許多除錯功能,還有個遠端系統日誌模式,可用來回報除錯資訊,而其它的漏洞則包括管理員密碼洩露、除錯端點含有命令注入漏洞、在某個測試網頁含有跨站指令碼缺口,串連上述漏洞即可透過一個惡意網頁於路由器上執行任意程式。

不過,當中興收到通知時,宣稱已終止MF910產品壽命,因此並不打算修補,但Pen Test Partners卻依然在中興官網發現MF910的銷售網頁。

另一個中興產品ZTE MF920則含有資訊外洩(CVE-2019-3411)與任意命令執行(CVE-2019-3412)兩個漏洞,已被中興修補。

Netgear產品則含有可繞過跨站請求偽造保護的CVE-2019-14526漏洞,以及驗證後命令注入漏洞。至於華為的相關產品也含有驗證後服務阻斷漏洞,TP-Link路由器則含有驗證前命令注入(CVE-2019-12103)與驗證後命令注入(CVE-2019-12104)兩個漏洞。

關於漏洞修補的狀況,TP-Link表示,他們先前就已接獲通知,並在6月份正式發布新的韌體,用戶已經能夠更新,而消費者在6月份後買到的產品也不會有此問題。

熱門新聞

Advertisement