安全研究人员在华为的一款LTE USB 加密狗中发现了一个代码执行漏洞。
作为华为移动宽带加密狗系列的一部分,华为 LTE USB Stick E3372 可以插入计算机,使用户能够使用 LTE 网络浏览互联网。
然而,网络安全公司 Trustwave 发现了一个相当容易利用的设备漏洞。在一篇博客文章中,Trustwave 的安全研究经理 Martin Rakhmanov 解释了该漏洞的存在,因为其中一个安装的文件缺少适当的访问控制设置。
TechRadar 需要您!
我们正在研究我们的读者如何使用 VPN 来获取即将发布的深度报告。我们很乐意在下面的调查中听到您的想法。您的时间不会超过 60 秒。
“恶意用户所需要做的就是用他们自己想要的代码替换文件,然后等待合法用户开始通过华为设备使用蜂窝数据服务,”拉赫曼诺夫写道。敲错门
根据 Trustwave 的说法,当用户插入加密狗时,这个受影响的文件会自动执行。它旨在启动默认的 Web 浏览器并将其指向加密狗的设备管理界面。
但是,华为尚未对该文件设置适当的权限。这使计算机上的任何经过身份验证的用户都可以覆盖该文件。
Rakhmanov 解释说,恶意用户所需要做的就是用他们自己的恶意代码替换文件的内容。现在,当用户插入加密狗时,它会自动执行恶意代码。
Trustwave 告诉The Register,过去几个月它一直试图让华为注意这个问题,但没有取得任何进展。事实证明,他们一直将问题报告给错误的地址。
无论如何,一旦通过适当的渠道得到通知,华为很快就发布了补丁来修复文件的权限。