今(5)日,據彭博社消息,彭博社于4月30日發表的一篇報道顯示,沃達豐集團公司幾年前發現了華為提供的設備存在的安全漏洞。這篇文章基于彭博社獲得的文件以及與熟悉情況的人士交談。
集微網消息,今(5)日,據彭博社消息,彭博社于4月30日發表的一篇報道顯示,沃達豐集團公司幾年前發現了華為提供的設備存在的安全漏洞。這篇文章基于彭博社獲得的文件以及與熟悉情況的人士交談。
以下是其中一份文件的摘錄。
該文件是華為向沃達豐意大利業務供應的家用路由器中發現telnet后門后于2011年4月發布。這兩家公司均表示路由器問題與開發后無法刪除的維護和診斷功能有關,在2011年稍晚時已解決。
在該文件中,沃達豐當時的首席信息安全官Bryan Littlefair概述了沃達豐如何發現telnet服務,要求華為將其刪除,并得到供應商保證問題得到解決。經過進一步測試,沃達豐發現telnet服務仍然可以在稱為沃達豐站的路由器中啟動。以下是Littlefair對情況的評估:
華為是否已在自己的軟件中構建telnet功能或使用其他公司的操作系統(VxWorks)還有待澄清。一個意見是,華為不知道如何改變VX Works的配置,這在孤立的情況下是合理的。考慮到華為很了解Vodafone的擔憂,華為試圖掩蓋telnet后門的舉動反而引發更大擔憂。
下面,Littlefair列出了與后門相關的感知風險:
設想的風險
這些安全漏洞帶來的主要風險是:
*利用緩沖區溢出機制遠程訪問和控制VF站。
*具有VF Station路由器管理權限的完全訪問權限
1.訪問客戶LAN(客戶環境-PC和本地網絡設備);
2.在WAN端(VF網絡),獲取對網絡設備的非授權訪問,繞過標準遠程訪問策略和過程(防火墻加上用戶/密碼和SecurId的強身份驗證); 到目前為止,在這個領域尚未發現任何漏洞,但它仍然打開了一扇可能的門;
3.披露可用于惡意活動的VoIP憑證;
4.通過訪問閃存設備(通過MTD設備)以及垃圾郵件發送者,僵尸,僵尸網絡等的可能性,上傳修改過的(并且可能是惡意的)固件;
5.禁用TR069客戶端,這將阻止配置和固件更新。
Littlefair沒有回應彭博社的評論請求,他強調Littlefair的文件凸顯出家庭路由器的后門可能會用于未經授權存取消費者家中的兩個設備以及更廣泛的Vodafone 網絡。
沃達豐在給彭博的一份聲明中表示,這些漏洞只影響了路由器,與其存取,傳輸或核心網絡無關。沃達豐表示,攻擊者只能訪問設備本地的數據,而不能訪問任何其他用戶的數據。
彭博社的報道還顯示,沃達豐發現華為提供的部分光服務節點和寬帶網絡網關在意大利網絡存在漏洞。沃達豐表示,2012年BNG問題得到了解決,之后,OSN問題也得到了解決。
沃達豐和華為都表示,設備漏洞是一個全行業的問題。華為表示:“華為隱瞞設備后門的建議絕對沒有道理。”
在2011年的文件中,Littlefair對telnet后門如何進入路由器以及華為如何處理此問題表示擔憂:此時我們無法確切地說該事件意味著華為是惡意的(代表他們自己或其他人),無能(無法解決問題)或天真(試圖掩蓋他們無法解決的事實)。然而,鑒于他們最近幾個月從沃達豐那里得到了關注,華為在此情況下未自證并坦白一切很令人失望。不幸的是,華為的政治背景意味著這一事件將使他們在努力證明自己是一個誠實的供應商時生活更加困難。
對于沃達豐發現指出的華為路由器的漏洞,5月2日,華為在一份聲明中否認了其設備中有隱藏的后門,并表示相關報道具有誤導性。
華為在一份聲明中表示:“我們已經意識到2011年和2012年的歷史漏洞,并且當時已經解決了這些漏洞。軟件漏洞是整個行業面臨的挑戰。像每個ICT供應商一樣,我們都有完善的公告和補丁過程,當發現漏洞時,我們會與合作伙伴密切合作,采取適當的糾正措施。”
-
華為
+關注
關注
216文章
34417瀏覽量
251530 -
沃達豐
+關注
關注
0文章
184瀏覽量
18428
原文標題:華為路由器存在后門?沃達豐內部文件揭秘
文章出處:【微信號:zengshouji,微信公眾號:MCA手機聯盟】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論