4G router sérülékenységek

4G router sérülékenységek
Angol cím: 4G router vulnerabilities

CH azonosító: CH-14681
Publikálás dátuma: 2019.08.13.
Utolsó módosítás dátuma: 2019.08.13.

Leírás

4G routerek sérülékenységei váltak ismertté, amelyek segítségével a támadók átvehetik az irányítást a routerek felett.

Leírás forrása: https://www.bleepingcomputer.com/news/security/4g-router-vulnerabilities-let-attackers-take-full-control/

Leírás utolsó módosítása: 2019.08.13.

Elemzés leírás

Biztonsági kutatók több sérülékenységet találtak számos gyártó ─ köztük a ZTE, a Netgear és a TP-Link ─ 4G-s routereiben.

A ZTE esetében három router érintett. Az MF910 és MF65+ már túl van a tervezett életciklusán, ennek ellenére az MF910 még szerepel a támogatott termékek listáján. Az MF920 routert két sérülékenység (CVE-2019-3411, CVE-2019-3412) sújtja, amelyek információ szivárgást és távoli kódfuttatást tehetek lehetővé.

A Netgear Nighthawk M1 Mobile routert érintő két sérülékenységnél (CVE-2019-14526, CVE-2019-14527) a támadó a cross-site request forgery és hitelesítés utáni parancs befecskendezés segítségével képes tetszőleges kód végrehajtására a célkeresztben lévő eszközön.

A TP-LINK M7350 4G router esetében a hitelesítés előtti és utáni parancs befecskendezéssel lehet kihasználni az eszközt érintő sérülékenységeket (CVE-2019-14526, CVE-2019-14527).

Megoldás: Frissítés az elérhető legújabb verzióra.

Elemzés leírás forrása: https://www.bleepingcomputer.com/news/security/4g-router-vulnerabilities-let-attackers-take-full-control/

Elemzés leírás utolsó módosítása: 2019.08.13.

Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9

Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):

CVSS2 Súlyosság és Metrika

Alap pontszám: 7.5 (Magas)
Vektor: AV:N/AC:L/Au:N/C:P/I:P/A:P
Hatás alpontszáma: 6.4
Kihasználhatóság alpontszáma: 10.0

Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Rész
Sértetlenség Hatása (S): Rész
Rendelkezésre állás Hatása (A): Rész

Hivatkozások

CVE-2019-3411 - NVD CVE-2019-3411
CVE-2019-3412 - NVD CVE-2019-3412
Gyártói referencia: support.zte.com.cn
Gyártói referencia: www.tp-link.com
Gyártói referencia: www.netgear.com
Egyéb referencia: www.bleepingcomputer.com

Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »