Huawei HG是中国华为(Huawei)公司的一款网关设备,其用于运营商ISP服务,现被曝出现漏洞(CVE-2018-7900)。该漏洞存在信息泄露,攻击者可利用该漏洞获取凭证信息。
漏洞存在于路由器管理面板中,其造成凭证信息泄露。攻击者在ZoomEye或Shodan IoT进行搜索,查找到具有默认密码的设备列表。
NewSky Security首席研究员Ankit Anubhav 在一篇帖子中解释道:“当查看登录页面的html源码时,很少会注意到声明的变量。其中一个变量就具有特定值。通过监控这一特定值,即可以知道设备具有默认密码。“
“攻击者可以直接访问ZoomEye,查找设备列表并登录,以最少的黑客技能完成他们想要的任务,很简单。“
华为已经发布了修复程序,并与合作的运营商客户联系,修补该漏洞。
NewSky研究人员表示, 考虑到该漏洞潜在攻击面太大,他们不会透露这个漏洞的确切细节,也不会透露在ZoomEye搜索中发现的受影响设备的数量。
“可以感染大量物联网设备的攻击媒介比使用在线只有500台设备的供应商中的漏洞更受青睐。”,Anubhav说。
“在2018年出现的CVE-2018-14847(MikroTik)和CVE-2014-8361都被高度用于攻击,其中造成攻击范围大的共同点就是具有漏洞的设备数量过多。因此,大型物联网供应商的安全漏洞可能比通常的漏洞更为高危。“