Уязвимости позволяют злоумышленникам получить доступ к конфиденциальной информации пользователей и выполнять команды.
Исследователи безопасности из Pen Test Partners обнаружили многочисленные уязвимости в маршрутизаторах 4G от разных компаний, эксплуатация которых позволяет злоумышленникам получить доступ к конфиденциальной информации пользователей и выполнять команды.
Уязвимости затрагивают маршрутизаторы 4G самых разных ценовых категорий, от потребительских роутеров и донглов до очень дорогих устройств, предназначенных для использования в крупных корпоративных сетях.
Эксплуатация уязвимостей (CVE-2019-3411 и CVE-2019-3412), обнаруженных в маршрутизаторе MF920 от ZTE, позволяет злоумышленникам получить доступ к данным пользователя или выполнять произвольные команды. Последняя уязвимость является критической и получила оценку в 9,8 балла по шкале CVSS v3.
Роутер Netgear Nighthawk M1 Mobile затронула CSRF-уязвимость (CVE-2019-14526) и уязвимость внедрения команды после аутентификации (CVE-2019-14527), позволяющие выполнить произвольный код на уязвимом устройстве, если «пользователь установил ненадежный пароль в web-интерфейсе».
В мобильном беспроводном маршрутизаторе TP-LINK M7350 4G LTE обнаружены две уязвимости (CVE-2019-12103 и CVE-2019-12104), эксплуатация которых позволяет выполнять команды до и после аутентификации соответственно.
Исследователи сообщили обо всех обнаруженных уязвимостях поставщикам и большинство из них были исправлены.
Никаких овечек — только отборные научные факты