专精于渗透测试的网络安全企业Pen Test Partners在上周举行的Defcon安全会议上,披露了多个品牌的4G移动网络设备之安全漏洞,批评这些设备的制造商未来都将生产5G设备,但多数并不注重这些设备的安全性。
Pen Test Partners此次的研究对象为Mi-Fi设备,指的是那些以移动网络作为Wi-Fi热点的设备,像是4G网卡或4G路由器。Pen Test Partners表示,随着5G即将来临,代表未来几年将有越来越多的人使用移动网络来上网或分享,但这些未来将打造5G路由器的企业却不重视设备的安全性,可能使得5G设备沿用4G、3G甚至是2G设备的程序代码。
安全研究人员表示,他们只用了少数的4G路由器作为测试样本,便可发现这些设备有多不安全且令人感到沮丧。
Pen Test Partners罗列了各种品牌的移动网络设备漏洞,指称中兴(ZTE)MF910行动网卡路由器的Web服务器固件藏有许多调试功能,还有个远程系统日志模式,可用来回应调试信息,而其它的漏洞则包括管理员密码泄露、调试端点含有命令注入漏洞、在某个测试网页含有跨站脚本缺口,串联上述漏洞即可通过一个恶意网页于路由器上执行任意程序。
不过,其中兴收到通知时,宣称已终止MF910产品寿命,因此并不打算修补,但Pen Test Partners却依然在中兴官网发现MF910的销售网页。
另一个中兴产品ZTE MF910则含有信息外泄(CVE-2019-3411)与任意命令执行(CVE-2019-3412)两个漏洞,已被中兴修补。
Netgear产品则含有可绕过跨站请求伪造保护的CVE-2019-14526漏洞,以及验证后命令注入漏洞。至于华为的相关产品也含有验证后服务阻断漏洞,TP-Link路由器则含有验证前命令注入(CVE-2019-12103)与验证后命令注入(CVE-2019-12104)两个漏洞。