華為并沒有計劃為一些存在嚴重漏洞的3G路由器打補丁,這些漏洞允許攻擊者更改DNS設置,無需登錄設備上傳固件,以及發動拒絕服務攻擊。
一名安全研究人員皮埃爾·基姆在博客上表示,受影響的路由器分布在12個國家,并已不在華為的服務支持期內。基姆主要關注了華為的B260a型號,這個型號的路由曾由突尼斯電信分發。B260a的固件在超過12款路由器上使用,該固件的最后一次更新日期為2013年2月20日。
分發這些路由器的ISP為了給用戶提供定制華服務,也更改過這些固件,但漏洞問題依然存在。
B260a在cookie中以名文形式存儲管理員的用戶名和口令,基姆表示,攻擊者無需認證就能獲得路由器的Wi-Fi口令。
糟糕的設計,大量的漏洞。
華為官方在8月份收到研究人員提交的信息,并很快做出了回應,即,沒有補丁更新的計劃。但即使華為想為這些路由器的固件打上補丁,也由于ISP更改了固件,致使補丁更新工作變得困難。這些路由器分布在阿根廷、美國、奧地利、巴西、智利、肯尼亞、馬里、墨西哥、尼日利亞、葡萄牙、羅馬尼亞、斯洛伐尼亞、瑞典和突尼斯。
京公網安備 11010502049343號