2018-01-03 - Viðvörun vegna öryggisgalla í Huawei HG532 beinum

Huawei hefur gefið út viðvörun vegna veikleika í Huawei HG532 beinum (routers) sem gefið hefur verið einkennið CVE-2017-17215[1]. Kóði til að nýta veikleikann hefur nú verið gerður opinber og m.a. nýttur af s.k. Nexus Zeta hóp til að dreifa Satori/Mirai Oriku spillikóða [2,3,4]. Veikleikinn liggur í útfærslu Huawei á Universal Plug and Play (UPnP) og TR-064 staðlinum sem auðveldar uppsetningu UPnP búnaðs á staðarnetum. Enn sem komið eru ekki þekktar öryggisuppfærslur sem taka á þessum galla.

Eldri útgáfur Mirai nýttu sér Linux telnet aðgang og þekkt sett aðgangsupplýsinga. Satori/Mirai Oriku afbrigðið notar sér einnig veikleika CVE-2017-17215 gegn porti 37215. Takist árásin má keyra utanaðkomandi kóða á beininum sem í ofangreindu tilviki virkjar hann í botnetinu.

Huawei beinir til viðskiptavina að uppfæra HG532 beina til að koma í veg fyrir misnotkun [1]:

  • Nýta innbyggða eldvegginn til að blokka umferð á port 37215
  • Breyta sjálfgefnu lykilorði

Sem stendur eru aðeins þekktir veikleikar í HG532 beininum en ástæða er til að vera á varðbergi gagnvart misnotkun á þessum veikleika í öðrum sambærilegum vörum.

[1] Security Notice - Statement on Remote Code Execution Vulnerability in Huawei HG532 Product 2017-11-30

[2] Huawei Router Vulnerability Used to Spread Mirai Variant 2017-12-22

[3] Code Used in Zero Day Huawei Router Attack Made Public 2017-11-28

[4] Huawei router exploit involved in Satori and Brickerbot given away for free on Christmas by Blackhat Santa 2017-12-28