В WiMAX-маршрутизаторах Huawei обнаружены множественные уязвимости

В начале октября нынешнего года SecurityLab.ru сообщал об уязвимостях в ряде популярных 3G-маршрутизаторов производства Huawei. Независимый исследователь безопасности Пьер Ким (Pierre Kim) обнаружил множественные бреши в сетевых устройствах еще в 2014 году, но ответ от производителя получил лишь спустя год. Несмотря на популярность маршрутизаторов, Huawei не собиралась исправлять найденные уязвимости в связи с истечением срока официальной поддержки устройств.

Как оказалось, уязвимостям подвержены не только 3G-маршрутизаторы, но и роутеры серии WiMax. По словам Кима, сетевые устройства до сих пор широко используются во многих странах мира, включая Украину, Бахрейн, Иран, Ирак, Ливию, Филиппины и Кот д’Ивуар.

Уязвимостям подвержены следующие модели маршрутизаторов:

• Huawei EchoLife BM626 WiMax CPE;
• Huawei EchoLife BM626e WiMax CPE;
• Huawei EchoLife BM635 WiMax CPE;
• Huawei EchoLife BM632 WiMax CPE;
• Huawei EchoLife BM631a WiMax CPE;
• Huawei EchoLife BM632w WiMax CPE;
• Huawei EchoLife BM652 WiMax CPE.

Защита доступа к интерфейсу управления устройствами основана на JavaScript-перенаправлении. Злоумышленник может отключить JavaScript в браузере и получить полный контроль над устройством. Кроме фактического отсутствия проверки авторизации, ПО содержит бреши, позволяющие удаленному пользователю раскрыть важные данные, похитить данные сессии и осуществить CSRF-атаку.

Сотрудники Huawei отказались выпустить исправленные версии прошивок, ссылаясь на завершение срока поддержки маршрутизаторов. Компания рекомендует пользователям приобрести новые модели сетевых устройств.