華為部分型號路由器曝安全漏洞，或致信息泄露

日前，網路安全公司NewSky Security的首席研究員Ankit Anubhav發現華為路由器的某些型號存在安全漏洞，攻擊者可利用這些漏洞來確定設備是否具有默認憑據，而無需連接到設備。

該漏洞（被跟蹤為CVE-2018-7900）位於路由器管理面板中，允許憑據信息泄露。攻擊者可以使用物聯網搜索引擎（如ZoomEye或Shodan）在互聯網上掃描具有默認密碼的設備。

這個漏洞（CVE-2018-7900）位於路由器管理面板中，存在泄露路由器憑證信息的風險。具體來說，攻擊者可以通過物聯網搜索引擎（如ZoomEye或Shodan）來掃描使用默認密碼的華為路由器。

該漏洞簡化了攻擊路由器的過程，擊者只需要編寫一個ZoomEye/Shodan查詢模板，就可以隱秘地獲取到使用默認憑證的設備列表，且無需連接到該路由器，也無需使用其他攻擊技術。由於存在這樣一個漏洞，通過路由器管理面板就能夠得到這些信息。

Ankit Anubhav解釋說，受該漏洞影響的華為路由器的管理面板登錄頁面HTML源代碼聲明了幾個變數，其中一個變數包含一個特定的值。通過分析這個值，就可以判定路由器是否使用的是默認憑證。

目前，華為已經修復了這個漏洞，但仍在與運營商合作，以求徹底解決這一問題。

對於該漏洞的披露時間表如下：

2018年9月26日：發現漏洞並通知華為。

2018年9月26日：華為確認收到郵件，並開始進行調查。

2018年10月1日：華為完成分析，並表示正在研究如何解決。

2018年11月6日：華為提供了解決方案，並表示仍在與運營商合作，以完善解決方案。

2018年12月5日：華為完成與運營商的溝通，並準備進行漏洞披露。

2018年12月19日：公開披露漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！