《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Huawei無線上網(wǎng)卡權(quán)限提升漏洞

Huawei無線上網(wǎng)卡權(quán)限提升漏洞

2021-06-05
來源:嘶吼專業(yè)版
關(guān)鍵詞: Trustwave 華為 安全漏洞

  Trustwave安全研究人員發(fā)現(xiàn)華為USB LTE dongle中存在權(quán)限提升安全漏洞,。

  6月2日,,Trustwave安全研究人員公布了華為USB LTE E3372無線上網(wǎng)卡中的一個(gè)權(quán)限提升漏洞。USB無線上網(wǎng)卡是一個(gè)可以插入筆記本或臺(tái)式機(jī)來連接互聯(lián)網(wǎng)的硬件設(shè)備,。Trustwave研究人員在分析華為LTE設(shè)備驅(qū)動(dòng)時(shí),,發(fā)現(xiàn)存在不當(dāng)?shù)臋?quán)限問題。

  華為LTE 驅(qū)動(dòng)以最大權(quán)限自動(dòng)運(yùn)行

  研究人員分析發(fā)現(xiàn),,每當(dāng)USB無線網(wǎng)卡插入后,,設(shè)備就會(huì)自動(dòng)運(yùn)行以下文件:

  /Library/StartupItems/MobileBrServ/mbbserviceopen.app/Contents/MacOS/mbbserviceopen

  在插入無線網(wǎng)卡后,該文件會(huì)用web瀏覽器打開華為的設(shè)備管理接口,。此外,,mbbserviceopen文件是以最大權(quán)限(777)運(yùn)行的:

微信圖片_20210605210124.jpg

  惡意用戶或攻擊者只需要將該文件替換為惡意代碼,然后等待合法用戶使用通過華為的無線上網(wǎng)卡設(shè)備連接網(wǎng)絡(luò)就可以了,。

  該漏洞的利用需要惡意用戶或攻擊者修改文件,,所以攻擊者需要能夠接觸到計(jì)算機(jī)并替換該文件才能夠利用該漏洞實(shí)現(xiàn)本地權(quán)限提升,。

  華為回應(yīng)

  華為已經(jīng)確認(rèn)修復(fù)了該漏洞,并在官網(wǎng)給出了關(guān)于該漏洞的安全指南,。該漏洞修復(fù)的方式是為“mbbserviceopen”設(shè)置合適的權(quán)限:

微信圖片_20210605210128.jpg

根據(jù)華為的安全公告,,E3372用戶可以從華為官網(wǎng)獲取"Hi Link" 驅(qū)動(dòng)文件來修復(fù)該安全漏洞。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。