4G router sérülékenységek

CH azonosító: CH-14681 Cím: 4G router sérülékenységek Angol cím: 4G router vulnerabilities

Publikálás dátuma: 2019.08.13. Utolsó módosítás dátuma: 2019.08.13.


Leírás

4G routerek sérülékenységei váltak ismertté, amelyek segítségével a támadók átvehetik az irányítást a routerek felett.

Leírás forrása: https://www.bleepingcomputer.com/news/security/4g-router-vulnerabilities-let-attackers-take-full-control/

Leírás utolsó módosítása: 2019.08.13.


Elemzés leírás

Biztonsági kutatók több sérülékenységet találtak számos gyártó ─ köztük a ZTE, a Netgear és a TP-Link ─ 4G-s routereiben.

A ZTE esetében három router érintett. Az MF910 és MF65+ már túl van a tervezett életciklusán, ennek ellenére az MF910 még szerepel a támogatott termékek listáján. Az MF920 routert két sérülékenység (CVE-2019-3411, CVE-2019-3412) sújtja, amelyek információ szivárgást és távoli kódfuttatást tehetek lehetővé.

A Netgear Nighthawk M1 Mobile routert érintő két sérülékenységnél (CVE-2019-14526, CVE-2019-14527) a támadó a cross-site request forgery és hitelesítés utáni parancs befecskendezés segítségével képes tetszőleges kód végrehajtására a célkeresztben lévő eszközön.

A TP-LINK M7350 4G router esetében a hitelesítés előtti és utáni parancs befecskendezéssel lehet kihasználni az eszközt érintő sérülékenységeket (CVE-2019-14526, CVE-2019-14527).

Megoldás: Frissítés az elérhető legújabb verzióra.

Elemzés leírás forrása: https://www.bleepingcomputer.com/news/security/4g-router-vulnerabilities-let-attackers-take-full-control/

Elemzés leírás utolsó módosítása: 2019.08.13.


Hatás

CVSS3 Severity and Metrics

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: 7.5 (Magas)
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P
Impact Subscore: 6.4
Exploitability Subscore: 10.0


Access Vector (AV): Network
Access Complexity (AC): Low
Confidentiality Impact (C): Partial
Integrity Impact (S): Partial
Availability Impact (A): Partial


Hivatkozások

CVE-2019-3411 - NVD CVE-2019-3411
CVE-2019-3412 - NVD CVE-2019-3412
Gyártói referencia: support.zte.com.cn
Gyártói referencia: www.tp-link.com
Gyártói referencia: www.netgear.com
Egyéb referencia: www.bleepingcomputer.com