28/03/19
В 2013 году команда одного из известных интернет-провайдеров предупредила китайского производителя оборудования Huawei о критической уязвимости в ряде домашних маршрутизаторов серии HG. Год спустя компания устранила уязвимость в моделях HG523a и HG533, однако, по каким-то причинам так и не исправила проблему в других устройствах линейки, использующих ту же уязвимую прошивку. В результате годы спустя непропатченные маршрутизаторы попали в состав одного из вариантов Mirai-ботнета, пишет издание The Register со ссылкой на анонимные источники.
Проблема связана с UpnP компонентом в прошивке и, по словам одного из собеседников, позволяет удаленно выполнить код, причем проэксплуатировать ее не составляет труда. В последующие годы данную уязвимость в нескольких моделях независимо друг от друга выявили несколько разных ИБ-исследователей. К примеру, в 2017 году об обнаружении похожей проблемы (CVE-2017-17215) в устройствах модели HG532 сообщили эксперты компании Check Point. После предупреждения исследователей Huawei выпустила соответствующий патч. Как отмечает The Register, судя по всему, производитель предпочитает решать проблемы по мере поступления, выпуская обновления только после того, как уязвимость обнаружит кто-то новый.
«В период между 2013 и 2017 годами уязвимость была выявлена злоумышленниками, использовавшими ее для перехвата управления маршрутизаторами, которые затем включались в состав ботнета Mirai», - отмечает источник. К примеру, минувшим летом модель HG532 засветилась в составе ботнета, насчитывавшего 18 тыс. устройств.
В общей сложности уязвимость затрагивает модели HG523a, HG532e, HG532S и HG533. Хотя сотрудники интернет-провайдера и эксперты Check Point по-разному описывают проблему, источники утверждают, что речь идет об одной и той же ошибке. Несмотря на разные методы эксплуатации, конечный итог одинаков: атакующий может внедрить шелл-команды в параметр URL, отправляемый сервису UpnP на маршрутизаторе, и выполнить их с правами суперпользователя. Как поясняется, URL используются непосредственно в командной строке для инициирования запуска программы, отвечающей за обработку обновлений безопасности. При этом никаких проверок не производится. Таким образом, внедрение команд в URL обеспечивает их выполнение при запуске системы обновления.
В комментарии изданию представители Huawei заявили, что в 2014 и 2017 годах действительно выпустили обновления, устраняющие уязвимости в вышеуказанных моделях, однако в компании не пояснили, почему в 2014 году уязвимость была исправлена только в части маршрутизаторов, а не во всех моделях с уязвимой прошивкой.
