聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
加拿大联网设备厂商 MoFi Networks 仅修复了研究员在今年5月份所报告10个漏洞中的5个。
未修复漏洞是一个命令注入漏洞和三个硬编码未记录后门机制,它们影响的是该公司的 MOFI4500-4GXeLTE 路由器产品线。这些设备是非常强大的商用路由器,MoFi 称它们是“专为企业或客户打造的高性能任务关键型企业级金属路由器”。
MOFI4500-4GXeLTE 路由器通过 LTE (4G) 上行链路为企业用户提供高带宽连接,通常由 Internet 服务提供商或其它需要确保无法访问正常有线 Internet 连接远程业务点的公司部署。
被指存在10个缺陷
网络安全公司 CRITICALSTART 公司发布报告称,它在今年早些时候从 MOFI4500-4GXeLTE 路由器固件中发现了10个缺陷。这10个缺陷中不乏严重漏洞。
CRITICALSTART 公司指出,已经将这些漏洞问题告知 MoFi 安全团队,但当后者在今年早些时候发布固件更新时,只修复了其中6个漏洞。上表中标黄部分是 MoFi 尚未修复的四个漏洞。对此,MoFi 尚未置评。
在某些场景下可实施利用
由于这些漏洞中包括不少后门,因此对于僵尸操纵者来说吸引力很大。
利用这些漏洞仅要求攻击者与设备的 Web 管理接口直接连接,而 CRITICALSTART 公司表示在默认情况下,所有网络接口皆可通过 LAN(内部)和WAN(外部)访问。
CRITICALSTART公司表示,“很多互联网服务提供商使用运营商级 NAT,阻止从互联网对管理接口的直接访问。这并未限制能够访问 LAN 接口或互联网服务提供商内部网络的攻击者。在一些情况下,用户可通过点击链接或访问恶意网站的方式间接地触发该漏洞。”
例如,其中一种场景是,将恶意代码嵌入恶意广告。当互联网服务提供商的员工或其网络上的客户访问带有其中一个广告的网站时,恶意代码就会在浏览器(位于互联网服务提供商 LAN中)运行,并入侵 MOFI4500-4GXeLTE路由器。
这意味着,从长远看,阻止对路由器管理 WAN 接口的访问权限并非全面的解决方案,而且最终需要更新固件,修复余下的漏洞并阻止未来的攻击活动。
鉴于这些漏洞造成的危险,CRITICALSTART 公司表示已将它们告知 US-CERT。互联网可访问的 MoFi 设备数量在今年夏天下降了40%多,从6月25日的1.4万台下降到8月25日的8200台。观察到这一情况后,CRITICALSTRAT 认为这是US-CERT 和互联网服务提供商收到报告后限制网络访问权限的成果。
推荐阅读
家庭路由器哪家强:固件漏洞多年不修复,更新无济于事
这个严重 0day 可导致79款 Netgear 路由器遭远程接管,无补丁
D-Link 老款路由器被曝多个高危漏洞,未完全修复
原文链接
https://www.zdnet.com/article/backdoors-left-unpatched-in-mofi-routers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
