Исправлен сбой в миллиарде маршрутизаторов 4G/LTE

2 декабря 2024, 19:30 / Технологии → Новости / Технологии

Было обнаружено, что несколько маршрутизаторов 4G/LTE, продаваемых компанией Billion Electric, страдают от сбоя CVSS 10-го уровня сложности, который редко встречается в природе. Security Online сообщает, что маршрутизаторы имеют очень высокий потенциал для использования. Однако компания Billion подготовила ряд обновлений встроенного ПО для устранения этих зияющих дыр в безопасности сетевого оборудования. Пожалуйста, немедленно получите обновление, если считаете, что это может повлиять на вашу работу.

Модели маршрутизаторов, включая M100, M150, M120N и M500, уязвимы для основного стандарта CVE-2024-11980. Это уязвимость “отсутствия аутентификации”, которая позволяет "удаленным злоумышленникам, не прошедшим проверку подлинности, напрямую получить доступ к определенным функциям, чтобы получить частичную информацию об устройстве, изменить SSID Wi-Fi и перезагрузить устройство", согласно TWCert.

Изображение: cvedetails.com

Это полное официальное описание CVE-2024-11980, но обозначение «Отсутствие аутентификации» указывает на то, насколько уязвимыми будут маршрутизаторы с этим недостатком для злоумышленников. Сложность атаки невелика, а требуемые привилегии отсутствуют, что означает, что доступ практически не ограничен.

Если злоумышленник воспользуется этим недостатком, он сможет получить конфиденциальную информацию с аппаратного обеспечения, изменить SSID маршрутизатора и перезапустить устройство. Это создает широкие возможности для цифрового хаоса.

CVE-2024-11980 был самым крупным, но не единственным недостатком, затронувшим миллиард фирменных маршрутизаторов. Мы также отмечаем, что эти сетевые устройства страдали от следующих проблем:

CVE-2024-11981 (CVSSv3 7.5): Обход аутентификации, обеспечивающий злоумышленнику доступ к произвольным веб-страницам.
CVE-2024-11982 (CVSSv3 7.2): Сохранение пароля в виде открытого текста (для получения тестовых файлов требуется доступ администратора).
CVE-2024-11983 (CVSSv3 7.2): Внедрение команд операционной системы, позволяющее удаленным злоумышленникам (с правами администратора) внедрять и выполнять код.

Мы рады, что компания Billion выпустила новую прошивку для затронутого диапазона маршрутизаторов 4G/LTE. Это гораздо удобнее для пользователей и не требует больших затрат, чем предоставление клиентам скидки при покупке нового устройства, из—за чего оборудование D-Link NAS недавно получило негативные отзывы в прессе. Однако мы отмечаем, что некоторые из миллиарда затронутых маршрутизаторов - это современные модели, которые все еще продаются розничными продавцами.

Спасибо Чао-Лин Ю (Стивен Мяу) за то, что он обнаружил эти миллиарды недостатков маршрутизаторов 4G/LTE, которые пользователи должны как можно скорее устранить с помощью новой прошивки.

Источник: Tomshardware.com