Huawei无线上网卡权限提升漏洞
2021-06-05
来源:嘶吼专业版
Trustwave安全研究人员发现华为USB LTE dongle中存在权限提升安全漏洞。
6月2日,Trustwave安全研究人员公布了华为USB LTE E3372无线上网卡中的一个权限提升漏洞。USB无线上网卡是一个可以插入笔记本或台式机来连接互联网的硬件设备。Trustwave研究人员在分析华为LTE设备驱动时,发现存在不当的权限问题。
华为LTE 驱动以最大权限自动运行
研究人员分析发现,每当USB无线网卡插入后,设备就会自动运行以下文件:
/Library/StartupItems/MobileBrServ/mbbserviceopen.app/Contents/MacOS/mbbserviceopen
在插入无线网卡后,该文件会用web浏览器打开华为的设备管理接口。此外,mbbserviceopen文件是以最大权限(777)运行的:
恶意用户或攻击者只需要将该文件替换为恶意代码,然后等待合法用户使用通过华为的无线上网卡设备连接网络就可以了。
该漏洞的利用需要恶意用户或攻击者修改文件,所以攻击者需要能够接触到计算机并替换该文件才能够利用该漏洞实现本地权限提升。
华为回应
华为已经确认修复了该漏洞,并在官网给出了关于该漏洞的安全指南。该漏洞修复的方式是为“mbbserviceopen”设置合适的权限:
根据华为的安全公告,E3372用户可以从华为官网获取"Hi Link" 驱动文件来修复该安全漏洞。
本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。