В маршрутизаторах 4G обнаружены критические уязвимости

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

14 августа 2019

4G-модем

Исследователи безопасности из Pen Test Partners обнаружили многочисленные уязвимости в маршрутизаторах 4G от разных компаний, эксплуатация которых позволяет злоумышленникам получить доступ к конфиденциальной информации пользователей и выполнять команды.

Уязвимости затрагивают маршрутизаторы 4G самых разных ценовых категорий, от потребительских роутеров и донглов (электронный ключ) до очень дорогих устройств, предназначенных для использования в крупных корпоративных сетях.

Эксплуатация уязвимостей (CVE-2019-3411 и CVE-2019-3412), обнаруженных в маршрутизаторе MF920 от ZTE, позволяет злоумышленникам получить доступ к данным пользователя или выполнять произвольные команды. Последняя уязвимость является критической и получила оценку в 9,8 балла по шкале CVSS v3.

Роутер Netgear Nighthawk M1 Mobile затронула CSRF-уязвимость (CVE-2019-14526) и уязвимость внедрения команды после аутентификации (CVE-2019-14527), позволяющие выполнить произвольный код на уязвимом устройстве, если «пользователь установил ненадежный пароль в web-интерфейсе».

В мобильном беспроводном маршрутизаторе TP-LINK M7350 4G LTE обнаружены две уязвимости (CVE-2019-12103 и CVE-2019-12104), эксплуатация которых позволяет выполнять команды до и после аутентификации соответственно.

Исследователи сообщили обо всех обнаруженных уязвимостях поставщикам и большинство из них были исправлены.

 

Источники[править]

 

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.
 

Новые уязвимости находят, а человек как купил модем, не поменяв стандартные логин/пароль admin/admin, и каждый так и пользуется интернетом, зайдя через 192.168..., и изменяет настройки через веб-браузер как хочет, вместо того, чтобы сделать уникальные. То же самое касается и всего остального обеспечения, к которым получается доступ через подбор простых паролей.